Delen via

Zelfstudie: Azure Bastion implementeren met behulp van opgegeven instellingen

  • Artikel

Deze zelfstudie helpt u bij het configureren van een toegewezen implementatie van Azure Bastion in uw virtuele netwerk vanuit Azure Portal met behulp van de instellingen en SKU van uw keuze. De SKU bepaalt de functies en verbindingen die beschikbaar zijn voor uw implementatie. Zie Configuratie-instellingen - SKU's voor meer informatie over SKU's en functies. Nadat Bastion is geïmplementeerd, kunt u SSH of RDP gebruiken om verbinding te maken met virtuele machines (VM's) in het virtuele netwerk via Bastion met behulp van de privé-IP-adressen van de VM's. Wanneer u verbinding maakt met een virtuele machine, hebt u geen openbaar IP-adres, clientsoftware, een agent of een speciale configuratie nodig.

In het volgende diagram ziet u de toegewezen implementatiearchitectuur van Azure Bastion voor deze zelfstudie. In tegenstelling tot de Bastion Developer-architectuur plaatst een dedicated deployment-architectuur een toegewijde bastion-host rechtstreeks in uw virtuele netwerk.

Diagram met de Azure Bastion-architectuur.

De stappen in deze zelfstudie implementeren Bastion met behulp van de Standard-SKU via de toegewezen implementatieoptie Handmatig configureren. In deze handleiding pas je het schalen van de host (aantal instanties) aan die door de Standard SKU wordt ondersteund. Als u een lagere SKU gebruikt voor de implementatie, kunt u het schalen van de host niet aanpassen. U kunt ook een beschikbaarheidszone selecteren, afhankelijk van de regio waarnaar u wilt implementeren.

Nadat de implementatie is voltooid, maakt u verbinding met uw virtuele machine via een privé-IP-adres. Als uw VIRTUELE machine een openbaar IP-adres heeft dat u verder niet nodig hebt, kunt u deze verwijderen.

In deze zelfstudie leert u het volgende:

  • Implementeer Bastion in uw virtuele netwerk.
  • Verbinding maken met een virtuele machine.
  • Verwijder het openbare IP-adres van een virtuele machine.

Vereisten

U hebt deze resources nodig om deze zelfstudie te voltooien:

  • Een Azure-abonnement. Als u nog geen abonnement hebt, maakt u een gratis account voordat u begint.

  • Een virtueel netwerk waarnaar u Bastion implementeert.

  • Een virtuele machine in het virtuele netwerk. Deze VM maakt geen deel uit van de Bastion-configuratie en wordt geen bastionhost. U maakt later in deze zelfstudie verbinding met deze VIRTUELE machine via Bastion. Als u geen VIRTUELE machine hebt, maakt u er een met behulp van quickstart: Een Virtuele Windows-machine of quickstart maken: Een Virtuele Linux-machine maken.

  • Vereiste VM-rollen:

    • De rol van Lezer op de virtuele machine
    • Lezerrol op de netwerkadapter (NIC) met het privé-IP-adres van de virtuele machine

  • Vereiste binnenkomende poorten:

    • Voor Virtuele Windows-machines: RDP (3389)
    • Voor Virtuele Linux-machines: SSH (22)

Notitie

Het gebruik van Azure Bastion met Azure Privé-DNS zones wordt ondersteund. Er zijn echter beperkingen. Zie de veelgestelde vragen over Azure Bastion voor meer informatie.

Bastion implementeren

Deze sectie helpt u bij het implementeren van Bastion in uw virtuele netwerk. Nadat Bastion is geïmplementeerd, kunt u veilig verbinding maken met elke virtuele machine in het virtuele netwerk met behulp van het privé-IP-adres.

Belangrijk

De uurtarieven beginnen van zodra Bastion wordt geïmplementeerd, ongeacht het uitgaande gegevensgebruik. Zie Prijzen en SKU's voor meer informatie. Als u Bastion implementeert als onderdeel van een zelfstudie of test, raden we u aan deze resource te verwijderen nadat u deze hebt gebruikt.

  1. Meld u aan bij het Azure-portaal.

  2. Ga naar uw virtuele netwerk. Selecteer Bastion op de pagina voor uw virtuele netwerk in het linkerdeelvenster. Deze instructies werken ook als u Bastion configureert vanaf de pagina van uw virtuele machine in de portal.

  3. Vouw in het deelvenster Bastion de opties voor toegewezen implementatie uit om de knop Handmatig configureren weer te geven. Mogelijk moet u schuiven om de optie voor uitvouwen te zien.

  4. Selecteer Handmatig configureren. Met deze optie kunt u specifieke aanvullende instellingen (zoals de SKU) configureren wanneer u Bastion implementeert in uw virtuele netwerk.

  5. Configureer in het deelvenster Bastion maken de instellingen voor uw bastionhost. Projectdetails worden ingevuld op basis van de waarden van uw virtuele netwerk. Configureer deze waarden onder Instantiedetails:

    Instelling Waarde
    Naam Geef de naam op die u wilt gebruiken voor uw Bastion-resource. Bijvoorbeeld VNet1-bastion.
    Regio Selecteer de regio waarin uw virtuele netwerk zich bevindt.
    Beschikbaarheidszone Selecteer desgewenst de zone(s) in de vervolgkeuzelijst. Alleen bepaalde regio's worden ondersteund. Zie Wat zijn beschikbaarheidszones voor meer informatie?
    Laag Voor deze zelfstudie selecteert u de Standaard-SKU. Zie Configuratie-instellingen - SKU voor informatie over de functies die beschikbaar zijn voor elke SKU.
    Aantal exemplaren Configureer het schalen van de host in intervallen van schaaleenheden. Gebruik de schuifregelaar of voer een getal in om het gewenste aantal exemplaren te configureren, bijvoorbeeld 3. Zie Instanties en hostschalen en Prijzen voor Azure Bastion voor meer informatie.

  6. Configureer de instellingen voor virtuele netwerken . Selecteer uw virtuele netwerk in de vervolgkeuzelijst. Als uw virtuele netwerk zich niet in de vervolgkeuzelijst bevindt, controleert u of u in de vorige stap de juiste regiowaarde hebt geselecteerd.

  7. Als u al een subnet met de naam AzureBastionSubnet hebt geconfigureerd in uw virtuele netwerk, wordt dit automatisch geselecteerd in de portal. Als u dat niet doet, kunt u er een maken. Als u het AzureBastionSubnet wilt maken, selecteert u Subnetconfiguratie beheren. Selecteer +Subnet in het deelvenster Subnetten. Configureer de volgende waarden en voeg deze toe.

    Instelling Waarde
    Subnetwerkdoel Selecteer Azure Bastion in de vervolgkeuzelijst. Hiermee geeft u op dat de naam AzureBastionSubnet is.
    Beginadres Voer het beginadres voor het subnet in. Als uw adresruimte bijvoorbeeld 10.1.0.0/16 is, kunt u 10.1.1.0 gebruiken voor het beginadres.
    Grootte Het subnet moet /26 of groter zijn (bijvoorbeeld /26, /25 of /24) om gebruik te kunnen maken van de functies die beschikbaar zijn met de Standard SKU.

  8. Selecteer bovenaan het deelvenster Subnetten met behulp van de breadcrumb-koppelingen Een Bastion maken om terug te keren naar het deelvenster Bastion-configuratie.

    Schermopname van het deelvenster met Azure Bastion-subnetten.

  9. In de sectie Openbaar IP-adres configureert u het openbare IP-adres van de bastionhostresource waarop RDP/SSH wordt geopend (via poort 443). Configureer de volgende instellingen:

    Instelling Waarde
    Openbaar IP-adres Selecteer Nieuw maken om een nieuw openbaar IP-adres te maken voor de Bastion-resource. U kunt ook Bestaande gebruiken selecteren en een bestaand openbaar IP-adres selecteren in de vervolgkeuzelijst als u al een IP-adres hebt gemaakt dat voldoet aan de juiste criteria en nog niet in gebruik is. Het openbare IP-adres moet zich in dezelfde regio bevinden als de Bastion-resource die u maakt.
    Naam openbaar IP-adres Geef een naam op voor het openbare IP-adres. Bijvoorbeeld VNet1-bastion-ip.
    Openbaar IP-adres SKU Het openbare IP-adres moet gebruikmaken van de Standard-SKU . Deze waarde wordt automatisch ingevuld in de portal.
    Toewijzing Statisch
    Beschikbaarheidszone Zones-gebaseerde redundantie (indien beschikbaar)

  10. Wanneer u klaar bent met het opgeven van de instellingen, selecteert u Controleren en maken. Met deze stap worden de waarden gevalideerd.

  11. Nadat de waarden zijn gevalideerd, kunt u Bastion implementeren. Selecteer Nieuw maken.

    U ontvangt een bericht dat uw implementatie in verwerking is. De status wordt op deze pagina weergegeven terwijl de resources worden gecreëerd. Het duurt ongeveer 10 minuten voordat de Bastion-resource is gemaakt en geïmplementeerd.

Verbinding maken met een virtuele machine

U kunt een van de volgende gedetailleerde artikelen gebruiken om verbinding te maken met een virtuele machine. Voor sommige verbindingstypen is de Bastion Standard-SKU vereist.

U kunt ook deze basisverbindingsstappen gebruiken om verbinding te maken met uw VIRTUELE machine:

  1. Ga in Azure Portal naar de virtuele machine waarmee u verbinding wilt maken.

  2. Bovenaan het deelvenster selecteert u Verbinding maken> met Bastion om naar het deelvenster Bastion te gaan. U kunt ook naar het deelvenster Bastion gaan met behulp van het linkermenu.

  3. De beschikbare opties in het Bastion-deelvenster zijn afhankelijk van de Bastion-SKU.

    Als u de Basic-SKU gebruikt, maakt u verbinding met een Windows-computer met behulp van RDP en poort 3389. Ook voor de Basic-SKU maakt u verbinding met een Linux-computer met behulp van SSH en poort 22. U hebt geen opties om het poortnummer of het protocol te wijzigen. U kunt echter de toetsenbordtaal voor RDP wijzigen door de verbindingsinstellingen in dit deelvenster uit te vouwen.

    Als u de Standard-SKU gebruikt, hebt u meer verbindingsprotocol- en poortopties beschikbaar. Vouw Verbindingsinstellingen uit om de opties weer te geven. Normaal gesproken maakt u verbinding met een Windows-computer met behulp van RDP en poort 3389, tenzij u verschillende instellingen voor uw VIRTUELE machine configureert. U maakt verbinding met een Linux-computer met behulp van SSH en poort 22.

  4. Selecteer voor verificatietype het verificatietype in de vervolgkeuzelijst. Het protocol bepaalt de beschikbare verificatietypen. Voltooi de vereiste verificatiewaarden.

  5. Als u de VM-sessie op een nieuw browsertabblad wilt openen, laat u Openen in nieuw browsertabblad geselecteerd.

  6. Selecteer Verbinding maken om verbinding te maken met de virtuele machine.

  7. Controleer of de verbinding met de virtuele machine rechtstreeks in Azure Portal (via HTML5) wordt geopend met behulp van poort 443 en de Bastion-service.

Als u sneltoetsen gebruikt terwijl u bent verbonden met een virtuele machine, leidt dit mogelijk niet tot hetzelfde gedrag als sneltoetsen op een lokale computer. Als u bijvoorbeeld vanaf een Windows-client verbinding hebt met een Virtuele Windows-machine, is Ctrl+Alt+End de sneltoets voor Ctrl+Alt+Delete op een lokale computer. Als u dit wilt doen vanaf een Mac terwijl u bent verbonden met een Virtuele Windows-machine, is de sneltoets fn+control+option+delete.

Audio-uitvoer inschakelen

U kunt externe audio-uitvoer voor uw virtuele machine inschakelen. Sommige VM's schakelen deze instelling automatisch in, terwijl andere vereisen dat u audio-instellingen handmatig inschakelt. De instellingen worden op de VIRTUELE machine zelf gewijzigd. Uw Bastion-implementatie heeft geen speciale configuratie-instellingen nodig om externe audio-uitvoer in te schakelen. Audio-invoer wordt momenteel niet ondersteund.

Notitie

Audio-uitvoer maakt gebruik van bandbreedte op uw internetverbinding.

Externe audio-uitvoer inschakelen op een Windows-VM:

  1. Nadat u verbinding hebt gemaakt met de virtuele machine, wordt rechtsonder op de werkbalk een audioknop weergegeven. Klik met de rechtermuisknop op de audioknop en selecteer Geluiden.
  2. In een pop-upbericht wordt gevraagd of u de Windows Audio-service wilt inschakelen. Selecteer Ja. U kunt meer audioopties configureren in geluidsvoorkeuren.
  3. Beweeg de muisaanwijzer over de audioknop op de werkbalk om de geluidsuitvoer te controleren.

Het openbare IP-adres van een virtuele machine verwijderen

Wanneer u verbinding maakt met een virtuele machine met behulp van Azure Bastion, hebt u geen openbaar IP-adres voor uw VIRTUELE machine nodig. Als u het openbare IP-adres voor iets anders niet gebruikt, kunt u dit loskoppelen van uw VM:

  1. Ga naar uw virtuele machine. Klik op de pagina Overzicht op het openbare IP-adres om de pagina Openbaar IP-adres te openen.

  2. Ga op de pagina Openbaar IP-adres naar Overzicht. U kunt de resource weergeven waaraan dit IP-adres is gekoppeld. Selecteer Ontkoppelen bovenaan het paneel.

  3. Selecteer Ja als u het IP-adres wilt loskoppelen van de VM-netwerkinterface. Nadat u het openbare IP-adres hebt losgekoppeld van de netwerkinterface, controleert u of het niet meer wordt vermeld onder Gekoppeld aan.

  4. Nadat u het IP-adres hebt losgekoppeld, kunt u de openbare IP-adresresource verwijderen. Selecteer Verwijderen boven aan de pagina Overzicht in het deelvenster Openbaar IP-adres voor de virtuele machine.

  5. Selecteer Ja als u het openbare IP-adres wilt verwijderen.

Middelen opschonen

Wanneer u klaar bent met het gebruik van deze toepassing, verwijdert u uw resources:

  1. Typ de naam van uw resourcegroep in het zoekvak bovenaan de portal. Wanneer uw resourcegroep wordt weergegeven in de zoekresultaten, selecteert u deze.
  2. Selecteer Resourcegroep verwijderen.
  3. Voer de naam van uw resourcegroep in voor VOER DE RESOURCEGROEPNAAM IN, en selecteer Verwijderen.

Volgende stappen

In deze zelfstudie hebt u Bastion geïmplementeerd in een virtueel netwerk en verbonden met een virtuele machine. Vervolgens hebt u het openbare IP-adres van de VIRTUELE machine verwijderd. Lees vervolgens meer over en configureer aanvullende Bastion-functies.

Configuratie-instellingen voor Azure Bastion

VM-verbindingen en -functies

Azure DDos-beveiliging configureren voor uw virtuele netwerk