Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł pomoże Ci skonfigurować wdrożenie Bastion w celu akceptacji połączeń z natywnego klienta (SSH lub RDP) na Twoim komputerze lokalnym do maszyn wirtualnych (VM) znajdujących się w wirtualnej sieci. Funkcja natywnego klienta pozwala na połączenie z docelowymi maszynami wirtualnymi przez Bastion za pomocą Azure CLI i rozszerza opcje logowania, aby uwzględnić lokalną parę kluczy SSH oraz Microsoft Entra ID. Dodatkowo, w zależności od typu połączenia i klienta, możesz także przesyłać pliki.
Możesz skonfigurować tę funkcję, modyfikując istniejące wdrożenie Bastionu lub wdrożyć Bastion z już określoną konfiguracją funkcji. Twoje możliwości na maszynie wirtualnej podczas łączenia się za pomocą klienta natywnego zależą od tego, co jest aktywowane na kliencie natywnym. Należy pamiętać, że w tej chwili rejestrowanie sesji nie jest dostępne dla klienta natywnego.
Notatka
Hourly pricing starts from the moment that Bastion is deployed, regardless of outbound data usage. For more information, see Pricing and SKUs. Jeśli wdrażasz Bastion w ramach samouczka lub testu, zalecamy usunięcie tego zasobu po zakończeniu jego używania.
Wdróż Bastion z funkcją natywnego klienta
Jeśli jeszcze nie wdrożyłeś Bastionu do swojej sieci wirtualnej, możesz to zrobić, używając funkcji klienta natywnego, określonej przez wdrożenie Bastionu z użyciem ustawień ręcznych. Aby zapoznać się z krokami, zobacz Tutorial - Deploy Bastion with manual settings. Podczas wdrażania Bastionu określ następujące ustawienia:
On the Basics tab, for Instance Details -> Tier select Standard. Wsparcie dla natywnego klienta wymaga Standard SKU.
Zanim stworzysz serwer bastionowy, przejdź do zakładki Zaawansowane i zaznacz pole dla Obsługi Klienta Natrywnych, a także pola wyboru dla innych funkcji, które chcesz wdrożyć.
Wybierz Przegląd + utwórz, aby zweryfikować, a następnie wybierz Utwórz, aby wdrożyć swój host Bastion.
Zmodyfikuj istniejące wdrożenie Bastion.
If you've already deployed Bastion to your virtual network, modify the following configuration settings:
- Przejdź do strony Konfiguracja dla zasobu Bastion. Sprawdź, czy poziom SKU to Standardowy. Jeśli tak nie jest, wybierz Standard.
- Zaznacz pole dla Native Client Support, a następnie zastosuj zmiany.
Zabezpiecz połączenie swojego rodzimego klienta
Jeśli chcesz dodatkowo zabezpieczyć połączenie ze swoim natywnym klientem, możesz ograniczyć dostęp do portów, udostępniając tylko port 22/3389. Aby ograniczyć dostęp do portów, musisz wdrożyć następujące zasady NSG na swojej AzureBastionSubnet, aby zezwolić na dostęp do wybranych portów i odmówić dostępu z jakichkolwiek innych portów.
Łączenie się z VMs
Po wdrożeniu tej funkcji istnieją różne instrukcje dotyczące połączenia, w zależności od komputera hosta, z którego się łączysz, oraz klienta VM, z którym się łączysz.
Użyj poniższej tabeli, aby zrozumieć, jak połączyć się z natywnymi klientami. Zauważ, że różne obsługiwane kombinacje natywnego klienta i docelowych maszyn wirtualnych pozwalają na różne funkcje oraz wymagają stosowania konkretnych poleceń.
Klient | Docelowa maszyna wirtualna | Metoda | Uwierzytelnianie Microsoft Entra | Transfer plików | Równoczesne sesje maszyn wirtualnych | Niestandardowy port |
---|---|---|---|---|---|---|
Natywny klient systemu Windows | Windows VM | RDP | Yes | Tak | Yes | Yes |
Linux VM | SSH | Yes | Nie | Yes | Yes | |
Dowolna maszyna wirtualna | az network bastion tunnel | Nie | Tak | Nie | Nie | |
Natywny klient Linuxa | Linux VM | SSH | Yes | Nie | Yes | Yes |
Windows or any VM | az network bastion tunnel | Nie | Tak | Nie | Nie | |
Inny natywny klient (putty) | Dowolna maszyna wirtualna | az network bastion tunnel | Nie | Tak | Nie | Nie |
Limitations:
- Logowanie za pomocą prywatnego klucza SSH przechowywanego w Azure Key Vault nie jest obsługiwane w tej funkcji. Zanim zalogujesz się do maszyny wirtualnej Linux przy użyciu pary kluczy SSH, pobierz swój klucz prywatny do pliku na lokalnym komputerze.
- Łączenie za pomocą natywnego klienta nie jest obsługiwane w Cloud Shell.