Zelfstudie: Bastion implementeren met behulp van opgegeven instellingen
Deze zelfstudie helpt u bij het implementeren van Azure Bastion vanuit de Azure Portal met behulp van uw eigen handmatige instellingen. Wanneer u handmatige instellingen gebruikt, kunt u configuratiewaarden opgeven, zoals het aantal exemplaren en de SKU op het moment van implementatie. Nadat Bastion is geïmplementeerd, kunt u verbinding maken (SSH/RDP) met virtuele machines in het virtuele netwerk via Bastion met behulp van het privé-IP-adres van de VM. Wanneer u verbinding maakt met een VM, heeft deze geen openbaar IP-adres, clientsoftware, agent of een speciale configuratie nodig.
In deze zelfstudie implementeert u Bastion met behulp van de Standard SKU-laag en past u het schalen van de host (aantal exemplaren) aan. Nadat de implementatie is voltooid, maakt u verbinding met uw VM via een privé-IP-adres. Als uw VM een openbaar IP-adres heeft dat u voor niets anders nodig hebt, kunt u dit verwijderen.
Azure Bastion is een PaaS-service die voor u wordt onderhouden, niet een bastionhost die u installeert op een van uw VM's en die u zelf onderhoudt. Zie Wat is Azure Bastion? voor meer informatie over Azure Bastion.
In deze zelfstudie leert u het volgende:
- Implementeer Bastion in uw VNet.
- Verbinding maken met een virtuele machine.
- Verwijder het openbare IP-adres van een virtuele machine.
Als u nog geen abonnement op Azure hebt, maakt u een gratis account aan voordat u begint.
Vereisten
Een virtueel netwerk. Dit is het VNet waarop u Bastion implementeert.
Een virtuele machine in het virtuele netwerk. Deze VM maakt geen deel uit van de Bastion-configuratie en wordt geen bastionhost. Verderop in deze zelfstudie maakt u verbinding met deze vm via Bastion. Als u nog geen VM hebt, maakt u er een met behulp van Quickstart: een VM maken.
Vereiste VM-rollen:
- De lezerrol op de virtuele machine.
- De lezerrol op de NIC met het privé-IP-adres van de virtuele machine.
Vereiste binnenkomende poorten:
- Voor Windows-VM's - RDP (3389)
- Voor Linux-VM's - SSH (22)
Notitie
Het gebruik van Azure Bastion met Azure Privé-DNS Zones wordt momenteel niet ondersteund. Voordat u begint, moet u ervoor zorgen dat het virtuele netwerk waar u uw Bastion-resource wilt implementeren, niet is gekoppeld aan een privé-DNS-zone.
Voorbeeldwaarden
U kunt de volgende voorbeeldwaarden gebruiken bij het maken van deze configuratie, maar u kunt ze ook vervangen door uw eigen waarden.
VNet- en VM-basiswaarden:
Naam | Waarde |
---|---|
Virtuele machine | TestVM |
Resourcegroep | TestRG1 |
Regio | VS - oost |
Virtueel netwerk | VNet1 |
Adresruimte | 10.1.0.0/16 |
Subnetten | FrontEnd: 10.1.0.0/24 |
Azure Bastion-waarden:
Naam | Waarde |
---|---|
Naam | VNet1-bastion |
+ Subnet-naam | AzureBastionSubnet |
AzureBastionSubnet-adressen | Een subnet binnen uw VNet-adresruimte met een subnetmasker /26 of groter. Bijvoorbeeld 10.1.1.0/26. |
Laag/SKU | Standard |
Aantal exemplaren (host schalen) | 3 of hoger |
Openbaar IP-adres | Nieuwe maken |
Naam openbaar IP-adres | VNet1-ip |
Openbaar IP-adres SKU | Standard |
Toewijzing | Statisch |
Belangrijk
Voor Azure Bastion-resources die zijn geïmplementeerd op of na 2 november 2021, is de minimale grootte van Het AzureBastionSubnet /26 of groter (/25, /24, enzovoort). Alle Azure Bastion-resources die vóór deze datum zijn geïmplementeerd in subnetten met de grootte /27, worden niet beïnvloed door deze wijziging en blijven werken, maar we raden u ten zeerste aan om de grootte van een bestaand AzureBastionSubnet te verhogen naar /26 voor het geval u ervoor kiest om in de toekomst te profiteren van hostschalen .
Bastion implementeren
Deze sectie helpt u bij het implementeren van Bastion in uw VNet. Zodra Bastion is geïmplementeerd, kunt u veilig verbinding maken met elke VM in het VNet met behulp van het privé-IP-adres.
Meld u aan bij de Azure-portal.
Ga naar uw virtuele netwerk.
Selecteer op de pagina voor uw virtuele netwerk in het linkerdeelvenster Bastion om de pagina Bastion te openen.
Selecteer handmatig configureren op de pagina Bastion. Hiermee kunt u specifieke aanvullende instellingen configureren bij het implementeren van Bastion in uw VNet.
Configureer op de pagina Een bastion maken de instellingen voor uw bastionhost. Projectdetails worden ingevuld vanuit de waarden van uw virtuele netwerk. Configureer de waarden voor instantiedetails .
Naam: typ de naam die u wilt gebruiken voor uw bastionresource.
Regio: De openbare Azure-regio waarin de resource wordt gemaakt. Kies de regio waarin uw virtuele netwerk zich bevindt.
Tier: De laag wordt ook wel de SKU genoemd. Voor deze zelfstudie selecteert u Standard. Met de Standard-SKU kunt u het aantal exemplaren voor het schalen van de host en andere functies configureren. Zie Configuratie-instellingen - SKU voor meer informatie over functies waarvoor de Standard-SKU is vereist.
Aantal exemplaren: Dit is de instelling voor het schalen van de host. Deze wordt geconfigureerd in stappen van schaaleenheden. Gebruik de schuifregelaar of typ een getal om het gewenste aantal exemplaren te configureren. Voor deze zelfstudie kunt u het gewenste aantal exemplaren selecteren. Zie Hostschalen en prijzen voor meer informatie.
Configureer de instellingen voor virtuele netwerken . Selecteer uw VNet in de vervolgkeuzelijst. Als uw VNet niet wordt weergegeven in de vervolgkeuzelijst, controleert u of u de juiste regio hebt geselecteerd in de vorige instellingen op deze pagina.
Als u het AzureBastionSubnet wilt configureren, selecteert u Subnetconfiguratie beheren.
Selecteer op de pagina Subnetten de optie +Subnet om de pagina Subnet toevoegen te openen.
Maak op de pagina Subnet toevoegen het subnet AzureBastionSubnet met behulp van de volgende waarden. Laat de overige waarden als standaardwaarde staan.
- De subnetnaam moet AzureBastionSubnet zijn.
- Het subnet moet ten minste /26 of groter zijn (/26, /25, /24, enzovoort) om ruimte te bieden aan functies die beschikbaar zijn met de Standard-SKU.
Selecteer Opslaan onderaan de pagina om uw waarden op te slaan.
Selecteer bovenaan de pagina Subnettende optie Een bastion maken om terug te keren naar de configuratiepagina van Bastion.
In de sectie Openbaar IP-adres configureert u het openbare IP-adres van de Bastion-hostresource waarop RDP/SSH wordt geopend (via poort 443). Het openbare IP-adres moet zich in dezelfde regio bevinden als de Bastion-resource die u maakt. Maak een nieuw IP-adres. U kunt de standaardnaamgevingssuggesties laten staan.
Wanneer u klaar bent met het opgeven van de instellingen, selecteert u Controleren en maken. Hierdoor worden de waarden gevalideerd.
Zodra de validatie is voltooid, kunt u Bastion implementeren. Selecteer Maken. U ziet een bericht waarin wordt aangegeven dat uw implementatie wordt uitgevoerd. De status wordt op deze pagina weergegeven terwijl de resources worden gemaakt. Het duurt ongeveer 10 minuten voordat de Bastion-resource is gemaakt en geïmplementeerd.
Verbinding maken met een virtuele machine
U kunt een van de volgende gedetailleerde artikelen gebruiken om verbinding te maken met een VM. Voor sommige verbindingstypen is de Bastion Standard-SKU vereist.
- Windows - RDP
- Windows - SSH
- Linux - SSH
- Linux - RDP
- Verbinding maken vanaf een lokale computer met behulp van een systeemeigen client
- Verbinding maken met een schaalset
U kunt ook de eenvoudige verbindingsstappen in de onderstaande sectie gebruiken om verbinding te maken met uw VM.
Verbindingsstappen
Ga in de Azure Portal naar de virtuele machine waarmee u verbinding wilt maken.
Selecteer bovenaan de pagina Verbinding maken-Bastion> om naar de pagina Bastion te gaan. U kunt ook naar de pagina Bastion gaan via het linkermenu.
De beschikbare opties op de bastionpagina zijn afhankelijk van de Bastion-SKU-laag. Als u de Basic-SKU gebruikt, maakt u verbinding met een Windows-computer via RDP en poort 3389 en met een Linux-computer via SSH en poort 22. U hebt geen opties om het poortnummer of het protocol te wijzigen. U kunt echter de toetsenbordtaal voor RDP wijzigen door Verbindingsinstellingen uit te vouwen.
Als u de Standard-SKU gebruikt, hebt u meer opties voor het verbindingsprotocol en de poort. Vouw Verbindingsinstellingen uit om de opties weer te geven. Tenzij u verschillende instellingen voor uw VM hebt geconfigureerd, maakt u doorgaans verbinding met een Windows-computer via RDP en poort 3389, en met een Linux-computer met behulp van SSH en poort 22.
Selecteer verificatietype in de vervolgkeuzelijst. Het protocol bepaalt de beschikbare verificatietypen. Voltooi de vereiste verificatiewaarden.
Als u de VM-sessie wilt openen in een nieuw browsertabblad, laat u Openen in een nieuw browsertabblad geselecteerd.
Klik op Verbinding maken om verbinding te maken met de VM.
De verbinding met deze virtuele machine, via Bastion, wordt rechtstreeks geopend in de Azure Portal (via HTML5) met behulp van poort 443 en de Bastion-service.
- Wanneer u verbinding maakt, ziet het bureaublad van de VM er anders uit dan de voorbeeldschermafbeelding.
- Het gebruik van sneltoetsen terwijl u bent verbonden met een virtuele machine, leidt mogelijk niet tot hetzelfde gedrag als sneltoetsen op een lokale computer. Wanneer u bijvoorbeeld bent verbonden met een Windows-VM vanaf een Windows-client, is Ctrl+Alt+End de sneltoets voor Ctrl+Alt+Delete op een lokale computer. Als u dit wilt doen vanaf een Mac terwijl u bent verbonden met een Windows-VM, is de sneltoets Fn+Ctrl+Alt+Backspace.
Audio-uitvoer inschakelen
U kunt externe audio-uitvoer inschakelen voor uw VM. Sommige VM's schakelen deze instelling automatisch in, andere vereisen dat u audio-instellingen handmatig inschakelt. De instellingen worden op de VM zelf gewijzigd. Uw Bastion-implementatie heeft geen speciale configuratie-instellingen nodig om externe audio-uitvoer in te schakelen.
Notitie
Audio-uitvoer neemt bandbreedte in beslag op uw internetverbinding.
Externe audio-uitvoer inschakelen op een Windows-VM:
- Nadat u verbinding hebt gemaakt met de virtuele machine, ziet u in de rechterbenedenhoek van de werkbalk een audioknop.
- Klik met de rechtermuisknop op de audioknop en selecteer 'Geluiden'.
- Er wordt een pop-upvenster weergegeven waarin u wordt gevraagd of u de Windows-audioservice wilt inschakelen. Selecteer Ja. U kunt meer audioopties configureren in Voorkeuren voor geluid.
- Als u de geluidsuitvoer wilt controleren, plaatst u de muisaanwijzer op de audioknop op de werkbalk.
Openbaar IP-adres van VM verwijderen
Wanneer u verbinding maakt met een VIRTUELE machine met behulp van Azure Bastion, hebt u geen openbaar IP-adres nodig voor uw VM. Als u het openbare IP-adres niet voor iets anders gebruikt, kunt u het loskoppelen van uw VM. Voer de volgende stappen uit om een openbaar IP-adres los te koppelen van uw VM:
Ga naar uw virtuele machine en selecteer Netwerken. Klik op het openbare IP-adres van de NIC om de pagina Openbaar IP-adres te openen.
Op de pagina Openbaar IP-adres ziet u de VM-netwerkinterface onder Gekoppeld aan in de rechterbenedenhoek van de pagina. Klik boven aan de pagina op Ontkoppelen .
Klik op Ja om het IP-adres los te koppelen van de netwerkinterface. Zodra het openbare IP-adres is losgekoppeld van de VM-netwerkinterface, ziet u dat het niet meer wordt vermeld onder Gekoppeld aan.
Nadat u het IP-adres hebt ontkoppeld, kunt u de resource van het openbare IP-adres verwijderen. Selecteer verwijderen op de pagina Openbaar IP-adres voor de virtuele machine.
Klik op Ja om het openbare IP-adres te verwijderen.
Resources opschonen
Als u deze toepassing verder niet gaat gebruiken, verwijdert u de resources met behulp van de volgende stappen:
- Typ de naam van uw resourcegroep in het zoekvak bovenaan de portal. Wanneer u uw resourcegroep in de zoekresultaten ziet, selecteert u deze.
- Selecteer Resourcegroep verwijderen.
- Voer de naam van uw resourcegroep in voor TYP DE NAAM VAN DE RESOURCEGROEP: en selecteer Verwijderen.
Volgende stappen
In deze zelfstudie hebt u Bastion geïmplementeerd in een virtueel netwerk en verbonden met een VM. Vervolgens hebt u het openbare IP-adres van de VM verwijderd. Vervolgens leert u meer over en configureert u aanvullende Bastion-functies.