Wdrażanie usługi Bastion przy użyciu interfejsu wiersza polecenia platformy Azure

  • Artykuł

W tym artykule pokazano, jak wdrożyć usługę Azure Bastion przy użyciu interfejsu wiersza polecenia. Usługa Azure Bastion to usługa PaaS, która jest utrzymywana dla Ciebie, a nie host bastionu instalowany na maszynie wirtualnej i samodzielnie utrzymywany. Wdrożenie usługi Azure Bastion dotyczy sieci wirtualnej, a nie subskrypcji/konta lub maszyny wirtualnej. Aby uzyskać więcej informacji na temat usługi Azure Bastion, zobacz Co to jest usługa Azure Bastion?

Po wdrożeniu usługi Bastion w sieci wirtualnej możesz nawiązać połączenie z maszynami wirtualnymi za pośrednictwem prywatnego adresu IP. To bezproblemowe środowisko protokołu RDP/SSH jest dostępne dla wszystkich maszyn wirtualnych w tej samej sieci wirtualnej. Jeśli maszyna wirtualna ma publiczny adres IP, którego nie potrzebujesz, możesz go usunąć.

Diagram showing Azure Bastion architecture.

W tym artykule utworzysz sieć wirtualną (jeśli jeszcze jej nie masz), wdrożysz usługę Azure Bastion przy użyciu interfejsu wiersza polecenia i połączysz się z maszyną wirtualną. Usługę Bastion można również wdrożyć przy użyciu następujących innych metod:

Uwaga

Korzystanie z usługi Azure Bastion ze strefami usługi Azure Prywatna strefa DNS jest obsługiwane. Istnieją jednak ograniczenia. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące usługi Azure Bastion.

Przed rozpoczęciem

Subskrypcja platformy Azure

Sprawdź, czy masz subskrypcję platformy Azure. Jeśli nie masz jeszcze subskrypcji platformy Azure, możesz aktywować korzyści dla subskrybentów MSDN lub utworzyć bezpłatne konto.

Interfejs wiersza polecenia platformy Azure

W tym artykule jest używany interfejs wiersza polecenia platformy Azure. Aby uruchomić polecenia, możesz użyć usługi Azure Cloud Shell. Usługa Azure Cloud Shell to bezpłatna interaktywna powłoka, której możesz używać do wykonywania kroków opisanych w tym artykule. Udostępnia ona wstępnie zainstalowane i najczęściej używane narzędzia platformy Azure, które są skonfigurowane do użycia na koncie.

Aby otworzyć usługę Cloud Shell, wybierz pozycję Wypróbuj w prawym górnym rogu bloku kodu. Możesz również uruchomić usługę Cloud Shell na osobnej karcie przeglądarki, przechodząc do https://shell.azure.com listy rozwijanej w lewym rogu, aby odzwierciedlić powłokę Bash lub program PowerShell. Wybierz przycisk Kopiuj, aby skopiować bloki kodu, wklej je do usługi Cloud Shell, a następnie naciśnij klawisz Enter, aby je uruchomić.

Wdrażanie usługi Bastion

Ta sekcja ułatwia wdrażanie usługi Azure Bastion przy użyciu interfejsu wiersza polecenia platformy Azure.

Ważne

Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać więcej informacji, zobacz Cennik i jednostki SKU. Jeśli wdrażasz usługę Bastion w ramach samouczka lub testu, zalecamy usunięcie tego zasobu po zakończeniu korzystania z niego.

  1. Jeśli nie masz jeszcze sieci wirtualnej, utwórz grupę zasobów i sieć wirtualną przy użyciu polecenia az group create i az network vnet create.

    az group create --name TestRG1 --location eastus

    az network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24

  2. Użyj polecenia az network vnet subnet create , aby utworzyć podsieć, do której zostanie wdrożona usługa Bastion. Utworzona podsieć musi mieć nazwę AzureBastionSubnet. Ta podsieć jest rezerwowa wyłącznie dla zasobów usługi Azure Bastion. Jeśli nie masz podsieci z wartością nazewnictwa AzureBastionSubnet, usługa Bastion nie zostanie wdrożona.

    az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26

  3. Utwórz publiczny adres IP dla usługi Azure Bastion. Publiczny adres IP to publiczny adres IP zasobu usługi Bastion, do którego będzie uzyskiwany dostęp za pośrednictwem protokołu RDP/SSH (przez port 443). Publiczny adres IP musi znajdować się w tym samym regionie co tworzony zasób usługi Bastion. Z tego powodu należy zwrócić szczególną --location uwagę na określoną wartość.

    az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastus

  4. Użyj polecenia az network bastion create , aby utworzyć nowy zasób usługi Azure Bastion dla sieci wirtualnej. Tworzenie i wdrażanie zasobu usługi Bastion trwa około 10 minut.

    W poniższym przykładzie usługa Bastion jest wdrażana przy użyciu warstwy jednostki SKU Podstawowa. Jednostka SKU określa funkcje obsługiwane przez wdrożenie usługi Bastion. Można również wdrożyć przy użyciu jednostki SKU w warstwie Standardowa . Jeśli nie określisz jednostki SKU w poleceniu, jednostka SKU zostanie domyślnie ustawiona na Standardowa. Aby uzyskać więcej informacji, zobacz Jednostki SKU usługi Bastion.

    az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic

Łączenie z maszyną wirtualną

Jeśli nie masz jeszcze maszyn wirtualnych w sieci wirtualnej, możesz utworzyć maszynę wirtualną przy użyciu przewodnika Szybki start: tworzenie maszyny wirtualnej z systemem Windows lub Szybki start: tworzenie maszyny wirtualnej z systemem Linux

Możesz użyć dowolnego z poniższych artykułów lub kroków opisanych w poniższej sekcji, aby ułatwić nawiązywanie połączenia z maszyną wirtualną. Niektóre typy połączeń wymagają jednostki SKU usługi Bastion w warstwie Standardowa.

Połączenie przy użyciu portalu

Poniższe kroki przeprowadzą Cię przez jeden typ połączenia przy użyciu witryny Azure Portal.

  1. W witrynie Azure Portal przejdź do maszyny wirtualnej, z którą chcesz nawiązać połączenie.

  2. W górnej części okienka wybierz pozycję Połączenie> Bastion, aby przejść do okienka bastionu. Możesz również przejść do okienka bastionu, korzystając z menu po lewej stronie.

  3. Opcje dostępne w okienku bastionu zależą od jednostki SKU usługi Bastion. Jeśli używasz jednostki SKU w warstwie Podstawowa, połączysz się z komputerem z systemem Windows przy użyciu protokołu RDP i portu 3389. Ponadto w przypadku jednostki SKU w warstwie Podstawowa nawiąż połączenie z komputerem z systemem Linux przy użyciu protokołu SSH i portu 22. Nie masz opcji zmiany numeru portu ani protokołu. Można jednak zmienić język klawiatury dla protokołu RDP, rozwijając Połączenie ion Ustawienia.

    Screenshot of Azure Bastion connection settings.

    Jeśli używasz jednostki SKU w warstwie Standardowa, dostępnych jest więcej opcji protokołu połączenia i portu. Rozwiń Ustawienia Połączenie ion, aby wyświetlić opcje. Zazwyczaj, o ile nie skonfigurujesz różnych ustawień maszyny wirtualnej, nawiążesz połączenie z komputerem z systemem Windows przy użyciu protokołu RDP i portu 3389. Nawiąż połączenie z komputerem z systemem Linux przy użyciu protokołu SSH i portu 22.

    Screenshot of expanded connection settings.

  4. W polu Typ uwierzytelniania wybierz z listy rozwijanej. Protokół określa dostępne typy uwierzytelniania. Wypełnij wymagane wartości uwierzytelniania.

    Screenshot that shows the dropdown list box for authentication type.

  5. Aby otworzyć sesję maszyny wirtualnej na nowej karcie przeglądarki, pozostaw wybraną kartę Otwórz w nowej przeglądarce .

  6. Wybierz Połączenie, aby nawiązać połączenie z maszyną wirtualną.

  7. Upewnij się, że połączenie z maszyną wirtualną zostanie otwarte bezpośrednio w witrynie Azure Portal (za pośrednictwem kodu HTML5) przy użyciu portu 443 i usługi Bastion.

    Screenshot of a computer desktop with an open connection over port 443.

    Uwaga

    Po nawiązaniu połączenia pulpit maszyny wirtualnej będzie wyglądać inaczej niż na przykładowym zrzucie ekranu.

Używanie klawiszy skrótów klawiaturowych podczas nawiązywania połączenia z maszyną wirtualną może nie spowodować takiego samego zachowania, jak klawisze skrótów na komputerze lokalnym. Na przykład po nawiązaniu połączenia z maszyną wirtualną z systemem Windows z klienta systemu Windows ctrl+Alt+End jest skrótem klawiaturowym ctrl+Alt+Delete na komputerze lokalnym. Aby to zrobić z komputera Mac podczas nawiązywania połączenia z maszyną wirtualną z systemem Windows, skrót klawiaturowy to Fn+Ctrl+Alt+Backspace.

Aby włączyć dane wyjściowe audio

Możesz włączyć zdalne dane wyjściowe audio dla maszyny wirtualnej. Niektóre maszyny wirtualne automatycznie włączają to ustawienie, natomiast inne wymagają ręcznego włączania ustawień dźwięku. Ustawienia są zmieniane na samej maszynie wirtualnej. Wdrożenie usługi Bastion nie wymaga żadnych specjalnych ustawień konfiguracji w celu włączenia zdalnych danych wyjściowych dźwięku.

Uwaga

Dane wyjściowe audio wykorzystują przepustowość połączenia internetowego.

Aby włączyć zdalne dane wyjściowe audio na maszynie wirtualnej z systemem Windows:

  1. Po nawiązaniu połączenia z maszyną wirtualną zostanie wyświetlony przycisk audio w prawym dolnym rogu paska narzędzi. Kliknij prawym przyciskiem myszy przycisk audio, a następnie wybierz pozycję Dźwięki.
  2. Zostanie wyświetlony komunikat podręczny z pytaniem, czy chcesz włączyć usługę audio systemu Windows. Wybierz opcję Tak. Więcej opcji dźwięku można skonfigurować w preferencjach dźwięku.
  3. Aby zweryfikować dane wyjściowe dźwięku, umieść wskaźnik myszy na przycisku audio na pasku narzędzi.

Usuwanie publicznego adresu IP maszyny wirtualnej

Usługa Azure Bastion nie używa publicznego adresu IP do nawiązywania połączenia z maszyną wirtualną klienta. Jeśli nie potrzebujesz publicznego adresu IP dla maszyny wirtualnej, możesz usunąć skojarzenie publicznego adresu IP. Zobacz Usuwanie skojarzenia publicznego adresu IP z maszyny wirtualnej platformy Azure.

Następne kroki