Wdrażanie usługi Bastion przy użyciu programu Azure PowerShell
W tym artykule pokazano, jak wdrożyć usługę Azure Bastion przy użyciu programu PowerShell. Usługa Azure Bastion to usługa PaaS, która jest utrzymywana dla Ciebie, a nie host bastionu instalowany na maszynie wirtualnej i samodzielnie utrzymywany. Wdrożenie usługi Azure Bastion dotyczy sieci wirtualnej, a nie subskrypcji/konta lub maszyny wirtualnej. Aby uzyskać więcej informacji na temat usługi Azure Bastion, zobacz Co to jest usługa Azure Bastion?
Po wdrożeniu usługi Bastion w sieci wirtualnej możesz nawiązać połączenie z maszynami wirtualnymi za pośrednictwem prywatnego adresu IP. To bezproblemowe środowisko protokołu RDP/SSH jest dostępne dla wszystkich maszyn wirtualnych w tej samej sieci wirtualnej. Jeśli maszyna wirtualna ma publiczny adres IP, którego nie potrzebujesz, możesz go usunąć.
W tym artykule utworzysz sieć wirtualną (jeśli jeszcze jej nie masz), wdrożysz usługę Azure Bastion przy użyciu programu PowerShell i połączysz się z maszyną wirtualną. W przykładach pokazano, że usługa Bastion została wdrożona przy użyciu warstwy jednostki SKU w warstwie Standardowa, ale możesz użyć innej jednostki SKU usługi Bastion w zależności od funkcji, których chcesz użyć. Aby uzyskać więcej informacji, zobacz Jednostki SKU usługi Bastion.
Usługę Bastion można również wdrożyć przy użyciu następujących innych metod:
- Witryna Azure Portal
- Interfejs wiersza polecenia platformy Azure
- Szybki start — wdrażanie przy użyciu ustawień domyślnych
Uwaga
Korzystanie z usługi Azure Bastion ze strefami usługi Azure Prywatna strefa DNS jest obsługiwane. Istnieją jednak ograniczenia. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące usługi Azure Bastion.
Przed rozpoczęciem
Sprawdź, czy masz subskrypcję platformy Azure. Jeśli nie masz jeszcze subskrypcji platformy Azure, możesz aktywować korzyści dla subskrybentów MSDN lub utworzyć bezpłatne konto.
PowerShell
W tym artykule są używane polecenia cmdlet programu PowerShell. Aby uruchomić polecenia cmdlet, możesz użyć usługi Azure Cloud Shell. Cloud Shell to bezpłatna interaktywna powłoka, której można użyć do wykonania kroków opisanych w tym artykule. Udostępnia ona wstępnie zainstalowane i najczęściej używane narzędzia platformy Azure, które są skonfigurowane do użycia na koncie.
Aby otworzyć usługę Cloud Shell, wybierz pozycję Otwórz program CloudShell w prawym górnym rogu bloku kodu. Możesz również otworzyć usługę Cloud Shell na osobnej karcie przeglądarki, przechodząc do strony https://shell.azure.com/powershell. Wybierz pozycję Kopiuj , aby skopiować bloki kodu, wklej je w usłudze Cloud Shell, a następnie wybierz Enter, aby je uruchomić.
Możesz również zainstalować i uruchomić polecenia cmdlet programu Azure PowerShell lokalnie na komputerze. Polecenia cmdlet programu PowerShell są często aktualizowane. Jeśli nie zainstalowano najnowszej wersji, wartości określone w instrukcjach mogą zakończyć się niepowodzeniem. Aby znaleźć wersje programu Azure PowerShell zainstalowane na komputerze, użyj Get-Module -ListAvailable Az
polecenia cmdlet . Aby zainstalować lub zaktualizować, zobacz Instalowanie modułu programu Azure PowerShell.
Przykładowe wartości
Poniższe przykładowe wartości można użyć podczas tworzenia tej konfiguracji lub możesz zastąpić własną.
Przykładowe wartości sieci wirtualnej i maszyny wirtualnej:
Nazwa/nazwisko | Wartość |
---|---|
Maszyna wirtualna | TestVM |
Grupa zasobów | TestRG1 |
Region (Region) | Wschodnie stany USA |
Sieć wirtualna | Sieć wirtualna 1 |
Przestrzeń adresowa | 10.1.0.0/16 |
Podsieci | FrontEnd: 10.1.0.0/24 |
Wartości usługi Azure Bastion:
Nazwa/nazwisko | Wartość |
---|---|
Nazwisko | VNet1-bastion |
Nazwa podsieci | FrontEnd |
Nazwa podsieci | AzureBastionSubnet |
Adresy azureBastionSubnet | Podsieć w przestrzeni adresowej sieci wirtualnej z maską podsieci /26 lub większą. Na przykład 10.1.1.0/26. |
Warstwa/jednostka SKU | Standardowa |
Publiczny adres IP | Tworzyć w programie |
Nazwa publicznego adresu IP | VNet1-ip |
Jednostka SKU publicznego adresu IP | Standardowa |
Przypisywanie | Static |
Wdrażanie usługi Bastion
Ta sekcja ułatwia tworzenie sieci wirtualnej, podsieci i wdrażanie usługi Azure Bastion przy użyciu programu Azure PowerShell.
Ważne
Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać więcej informacji, zobacz Cennik i jednostki SKU. Jeśli wdrażasz usługę Bastion w ramach samouczka lub testu, zalecamy usunięcie tego zasobu po zakończeniu korzystania z niego.
Utwórz grupę zasobów, sieć wirtualną i podsieć frontonu, z którą wdrażasz maszyny wirtualne, z którymi połączysz się za pośrednictwem usługi Bastion. Jeśli używasz programu PowerShell lokalnie, otwórz konsolę programu PowerShell z podwyższonym poziomem uprawnień i połącz się z platformą
Connect-AzAccount
Azure przy użyciu polecenia .New-AzResourceGroup -Name TestRG1 -Location EastUS ` $frontendSubnet = New-AzVirtualNetworkSubnetConfig -Name FrontEnd ` -AddressPrefix "10.1.0.0/24" ` $virtualNetwork = New-AzVirtualNetwork ` -Name TestVNet1 -ResourceGroupName TestRG1 ` -Location EastUS -AddressPrefix "10.1.0.0/16" ` -Subnet $frontendSubnet ` $virtualNetwork | Set-AzVirtualNetwork
Skonfiguruj i ustaw podsieć usługi Azure Bastion dla sieci wirtualnej. Ta podsieć jest zarezerwowana wyłącznie dla zasobów usługi Azure Bastion. Tę podsieć należy utworzyć przy użyciu wartości nazwy AzureBastionSubnet. Ta wartość informuje platformę Azure o podsieci do wdrożenia zasobów usługi Bastion. Przykład w poniższej sekcji ułatwia dodanie podsieci usługi Azure Bastion do istniejącej sieci wirtualnej.
- Najmniejszy rozmiar podsieci AzureBastionSubnet, który można utworzyć, to /26. Zalecamy utworzenie rozmiaru /26 lub większego w celu uwzględnienia skalowania hostów.
- Aby uzyskać więcej informacji na temat skalowania, zobacz Ustawienia konfiguracji — skalowanie hosta.
- Aby uzyskać więcej informacji na temat ustawień, zobacz Ustawienia konfiguracji — AzureBastionSubnet.
- Utwórz podsieć AzureBastionSubnet bez żadnych tabel tras ani delegowania.
- Jeśli używasz sieciowych grup zabezpieczeń w podsieci AzureBastionSubnet, zapoznaj się z artykułem Praca z sieciowymi grupami zabezpieczeń .
Ustaw zmienną.
$vnet = Get-AzVirtualNetwork -Name "TestVNet1" -ResourceGroupName "TestRG1"
Dodaj podsieć.
Add-AzVirtualNetworkSubnetConfig ` -Name "AzureBastionSubnet" -VirtualNetwork $vnet ` -AddressPrefix "10.1.1.0/26" | Set-AzVirtualNetwork
- Najmniejszy rozmiar podsieci AzureBastionSubnet, który można utworzyć, to /26. Zalecamy utworzenie rozmiaru /26 lub większego w celu uwzględnienia skalowania hostów.
Utwórz publiczny adres IP dla usługi Azure Bastion. Publiczny adres IP to publiczny adres IP zasobu usługi Bastion, do którego będzie uzyskiwany dostęp RDP/SSH (przez port 443). Publiczny adres IP musi znajdować się w tym samym regionie co tworzony zasób usługi Bastion.
$publicip = New-AzPublicIpAddress -ResourceGroupName "TestRG1" ` -name "VNet1-ip" -location "EastUS" ` -AllocationMethod Static -Sku Standard
Utwórz nowy zasób usługi Azure Bastion w podsieci AzureBastionSubnet przy użyciu polecenia New-AzBastion . W poniższym przykładzie użyto jednostki SKU w warstwie Podstawowa. Można jednak również wdrożyć usługę Bastion przy użyciu innej jednostki SKU, zmieniając wartość -Sku. Wybrana jednostka SKU określa funkcje usługi Bastion i łączy się z maszynami wirtualnymi przy użyciu większej liczby typów połączeń. Aby uzyskać więcej informacji, zobacz Jednostki SKU usługi Bastion.
New-AzBastion -ResourceGroupName "TestRG1" -Name "VNet1-bastion" ` -PublicIpAddressRgName "TestRG1" -PublicIpAddressName "VNet1-ip" ` -VirtualNetworkRgName "TestRG1" -VirtualNetworkName "TestVNet1" ` -Sku "Basic"
Wdrożenie zasobów usługi Bastion trwa około 10 minut. Maszynę wirtualną można utworzyć w następnej sekcji podczas wdrażania usługi Bastion w sieci wirtualnej.
Tworzenie maszyny wirtualnej
Maszynę wirtualną można utworzyć przy użyciu przewodnika Szybki start: tworzenie maszyny wirtualnej przy użyciu programu PowerShell lub przewodnika Szybki start: tworzenie maszyny wirtualnej przy użyciu artykułów w portalu . Upewnij się, że maszyna wirtualna została wdrożona w tej samej sieci wirtualnej, w której wdrożono usługę Bastion. Maszyna wirtualna utworzona w tej sekcji nie jest częścią konfiguracji usługi Bastion i nie staje się hostem bastionu. Połączysz się z tą maszyną wirtualną w dalszej części tego samouczka za pośrednictwem usługi Bastion.
Następujące wymagane role dla zasobów.
Wymagane role maszyny wirtualnej:
- Rola czytelnika na maszynie wirtualnej.
- Rola czytelnika na karcie sieciowej z prywatnym adresem IP maszyny wirtualnej.
Wymagane porty wejściowe:
- W przypadku maszyn wirtualnych z systemem Windows — RDP (3389)
- W przypadku maszyn wirtualnych z systemem Linux — SSH (22)
Łączenie z maszyną wirtualną
Kroki połączenia można wykonać w poniższej sekcji, aby nawiązać połączenie z maszyną wirtualną. Do nawiązania połączenia z maszyną wirtualną można również użyć dowolnego z poniższych artykułów. Niektóre typy połączeń wymagają jednostki SKU usługi Bastion w warstwie Standardowa.
- Nawiązywanie połączenia z maszyną wirtualną z systemem Windows
- Nawiązywanie połączenia z maszyną wirtualną z systemem Linux
- Nawiązywanie połączenia z zestawem skalowania
- Nawiązywanie połączenia za pośrednictwem adresu IP
- Nawiązywanie połączenia z poziomu klienta natywnego
Kroki połączenia
W witrynie Azure Portal przejdź do maszyny wirtualnej, z którą chcesz nawiązać połączenie.
W górnej części okienka wybierz pozycję Połącz z>usługą Bastion, aby przejść do okienka bastionu. Możesz również przejść do okienka bastionu, korzystając z menu po lewej stronie.
Opcje dostępne w okienku bastionu zależą od jednostki SKU usługi Bastion. Jeśli używasz jednostki SKU w warstwie Podstawowa, połączysz się z komputerem z systemem Windows przy użyciu protokołu RDP i portu 3389. Ponadto w przypadku jednostki SKU w warstwie Podstawowa nawiąż połączenie z komputerem z systemem Linux przy użyciu protokołu SSH i portu 22. Nie masz opcji zmiany numeru portu ani protokołu. Można jednak zmienić język klawiatury dla protokołu RDP, rozwijając pozycję Ustawienia połączenia.
Jeśli używasz jednostki SKU w warstwie Standardowa, dostępnych jest więcej opcji protokołu połączenia i portu. Rozwiń węzeł Ustawienia połączenia, aby wyświetlić opcje. Zazwyczaj, o ile nie skonfigurujesz różnych ustawień maszyny wirtualnej, nawiążesz połączenie z komputerem z systemem Windows przy użyciu protokołu RDP i portu 3389. Nawiąż połączenie z komputerem z systemem Linux przy użyciu protokołu SSH i portu 22.
W polu Typ uwierzytelniania wybierz z listy rozwijanej. Protokół określa dostępne typy uwierzytelniania. Wypełnij wymagane wartości uwierzytelniania.
Aby otworzyć sesję maszyny wirtualnej na nowej karcie przeglądarki, pozostaw wybraną kartę Otwórz w nowej przeglądarce .
Wybierz pozycję Połącz, aby nawiązać połączenie z maszyną wirtualną.
Upewnij się, że połączenie z maszyną wirtualną zostanie otwarte bezpośrednio w witrynie Azure Portal (za pośrednictwem kodu HTML5) przy użyciu portu 443 i usługi Bastion.
Uwaga
Po nawiązaniu połączenia pulpit maszyny wirtualnej będzie wyglądać inaczej niż na przykładowym zrzucie ekranu.
Używanie skrótów klawiaturowych podczas nawiązywania połączenia z maszyną wirtualną może nie spowodować takiego samego zachowania, jak skrótów na komputerze lokalnym. Na przykład po nawiązaniu połączenia z maszyną wirtualną z systemem Windows z klienta systemu Windows ctrl+Alt+End jest skrótem klawiaturowym ctrl+Alt+Delete na komputerze lokalnym. Aby to zrobić z komputera Mac podczas nawiązywania połączenia z maszyną wirtualną z systemem Windows, skrót klawiaturowy to fn+control+option+delete.
Aby włączyć dane wyjściowe audio
Możesz włączyć zdalne dane wyjściowe audio dla maszyny wirtualnej. Niektóre maszyny wirtualne automatycznie włączają to ustawienie, natomiast inne wymagają ręcznego włączania ustawień dźwięku. Ustawienia są zmieniane na samej maszynie wirtualnej. Wdrożenie usługi Bastion nie wymaga żadnych specjalnych ustawień konfiguracji w celu włączenia zdalnych danych wyjściowych dźwięku.
Uwaga
Dane wyjściowe audio wykorzystują przepustowość połączenia internetowego.
Aby włączyć zdalne dane wyjściowe audio na maszynie wirtualnej z systemem Windows:
- Po nawiązaniu połączenia z maszyną wirtualną zostanie wyświetlony przycisk audio w prawym dolnym rogu paska narzędzi. Kliknij prawym przyciskiem myszy przycisk audio, a następnie wybierz pozycję Dźwięki.
- Zostanie wyświetlony komunikat podręczny z pytaniem, czy chcesz włączyć usługę audio systemu Windows. Wybierz opcję Tak. Więcej opcji dźwięku można skonfigurować w preferencjach dźwięku.
- Aby zweryfikować dane wyjściowe dźwięku, umieść wskaźnik myszy na przycisku audio na pasku narzędzi.
Usuwanie publicznego adresu IP maszyny wirtualnej
Usługa Azure Bastion nie używa publicznego adresu IP do nawiązywania połączenia z maszyną wirtualną klienta. Jeśli nie potrzebujesz publicznego adresu IP dla maszyny wirtualnej, możesz usunąć skojarzenie publicznego adresu IP. Zobacz Usuwanie skojarzenia publicznego adresu IP z maszyny wirtualnej platformy Azure.
Następne kroki
- Aby użyć sieciowych grup zabezpieczeń z podsiecią usługi Azure Bastion, zobacz Praca z sieciowymi grupami zabezpieczeń.
- Aby zrozumieć komunikację równorzędną sieci wirtualnych, zobacz Komunikacja równorzędna sieci wirtualnych i Usługa Azure Bastion.