Udostępnij za pośrednictwem


Skonfiguruj Bastion do natywnych połączeń klienta

Ten artykuł pomoże Ci skonfigurować wdrożenie Bastion w celu akceptacji połączeń z natywnego klienta (SSH lub RDP) na Twoim komputerze lokalnym do maszyn wirtualnych (VM) znajdujących się w wirtualnej sieci. Funkcja natywnego klienta pozwala na połączenie z docelowymi maszynami wirtualnymi przez Bastion za pomocą Azure CLI i rozszerza opcje logowania, aby uwzględnić lokalną parę kluczy SSH oraz Microsoft Entra ID. Dodatkowo, w zależności od typu połączenia i klienta, możesz także przesyłać pliki.

Diagram pokazuje połączenie za pomocą natywnego klienta.

Możesz skonfigurować tę funkcję, modyfikując istniejące wdrożenie Bastionu lub wdrożyć Bastion z już określoną konfiguracją funkcji. Twoje możliwości na maszynie wirtualnej podczas łączenia się za pomocą klienta natywnego zależą od tego, co jest aktywowane na kliencie natywnym. Należy pamiętać, że w tej chwili rejestrowanie sesji nie jest dostępne dla klienta natywnego.

Notatka

Hourly pricing starts from the moment that Bastion is deployed, regardless of outbound data usage. For more information, see Pricing and SKUs. Jeśli wdrażasz Bastion w ramach samouczka lub testu, zalecamy usunięcie tego zasobu po zakończeniu jego używania.

Wdróż Bastion z funkcją natywnego klienta

Jeśli jeszcze nie wdrożyłeś Bastionu do swojej sieci wirtualnej, możesz to zrobić, używając funkcji klienta natywnego, określonej przez wdrożenie Bastionu z użyciem ustawień ręcznych. Aby zapoznać się z krokami, zobacz Tutorial - Deploy Bastion with manual settings. Podczas wdrażania Bastionu określ następujące ustawienia:

  1. On the Basics tab, for Instance Details -> Tier select Standard. Wsparcie dla natywnego klienta wymaga Standard SKU.

  2. Zanim stworzysz serwer bastionowy, przejdź do zakładki Zaawansowane i zaznacz pole dla Obsługi Klienta Natrywnych, a także pola wyboru dla innych funkcji, które chcesz wdrożyć.

    Zrzut ekranu pokazujący ustawienia nowego hosta bastionowego z zaznaczoną opcją obsługi klienta natywnego.

  3. Wybierz Przegląd + utwórz, aby zweryfikować, a następnie wybierz Utwórz, aby wdrożyć swój host Bastion.

Zmodyfikuj istniejące wdrożenie Bastion.

If you've already deployed Bastion to your virtual network, modify the following configuration settings:

  1. Przejdź do strony Konfiguracja dla zasobu Bastion. Sprawdź, czy poziom SKU to Standardowy. Jeśli tak nie jest, wybierz Standard.
  2. Zaznacz pole dla Native Client Support, a następnie zastosuj zmiany.

Zabezpiecz połączenie swojego rodzimego klienta

Jeśli chcesz dodatkowo zabezpieczyć połączenie ze swoim natywnym klientem, możesz ograniczyć dostęp do portów, udostępniając tylko port 22/3389. Aby ograniczyć dostęp do portów, musisz wdrożyć następujące zasady NSG na swojej AzureBastionSubnet, aby zezwolić na dostęp do wybranych portów i odmówić dostępu z jakichkolwiek innych portów.

Zrzut ekranu pokazujący konfiguracje NSG.

Łączenie się z VMs

Po wdrożeniu tej funkcji istnieją różne instrukcje dotyczące połączenia, w zależności od komputera hosta, z którego się łączysz, oraz klienta VM, z którym się łączysz.

Użyj poniższej tabeli, aby zrozumieć, jak połączyć się z natywnymi klientami. Zauważ, że różne obsługiwane kombinacje natywnego klienta i docelowych maszyn wirtualnych pozwalają na różne funkcje oraz wymagają stosowania konkretnych poleceń.

Klient Docelowa maszyna wirtualna Metoda Uwierzytelnianie Microsoft Entra Transfer plików Równoczesne sesje maszyn wirtualnych Niestandardowy port
Natywny klient systemu Windows Windows VM RDP Yes Tak Yes Yes
Linux VM SSH Yes Nie Yes Yes
Dowolna maszyna wirtualna az network bastion tunnel Nie Tak Nie Nie
Natywny klient Linuxa Linux VM SSH Yes Nie Yes Yes
Windows or any VM az network bastion tunnel Nie Tak Nie Nie
Inny natywny klient (putty) Dowolna maszyna wirtualna az network bastion tunnel Nie Tak Nie Nie

Limitations:

  • Logowanie za pomocą prywatnego klucza SSH przechowywanego w Azure Key Vault nie jest obsługiwane w tej funkcji. Zanim zalogujesz się do maszyny wirtualnej Linux przy użyciu pary kluczy SSH, pobierz swój klucz prywatny do pliku na lokalnym komputerze.
  • Łączenie za pomocą natywnego klienta nie jest obsługiwane w Cloud Shell.

Next steps