Szybki start: automatyczne wdrażanie usługi Azure Bastion — podstawowa jednostka SKU

  • Artykuł

Z tego przewodnika Szybki start dowiesz się, jak automatycznie wdrożyć usługę Azure Bastion w witrynie Azure Portal przy użyciu ustawień domyślnych i podstawowej jednostki SKU. Po wdrożeniu usługi Bastion można użyć protokołu SSH lub RDP, aby nawiązać połączenie z maszynami wirtualnymi w sieci wirtualnej za pośrednictwem usługi Bastion przy użyciu prywatnych adresów IP maszyn wirtualnych. Maszyny wirtualne, z którymi nawiązujesz połączenie, nie wymagają publicznego adresu IP, oprogramowania klienckiego, agenta ani specjalnej konfiguracji.

Na poniższym diagramie przedstawiono architekturę usługi Bastion.

Diagram that shows the Azure Bastion architecture.

Domyślną warstwą dla tego typu wdrożenia jest jednostka SKU Podstawowa. Jeśli zamiast tego chcesz wdrożyć przy użyciu jednostki SKU dla deweloperów, zobacz Szybki start: wdrażanie jednostki SKU usługi Azure Bastion — deweloper. Jeśli chcesz wdrożyć przy użyciu jednostki SKU w warstwie Standardowa, zobacz Samouczek: wdrażanie usługi Azure Bastion przy użyciu określonych ustawień. Aby uzyskać więcej informacji na temat usługi Bastion, zobacz Co to jest usługa Azure Bastion?.

Kroki opisane w tym artykule ułatwiają wykonanie następujących czynności:

  • Wdróż usługę Bastion z ustawieniami domyślnymi z zasobu maszyny wirtualnej przy użyciu witryny Azure Portal. Podczas wdrażania przy użyciu ustawień domyślnych ustawienia są oparte na sieci wirtualnej, w której zostanie wdrożona usługa Bastion.
  • Połączenie do maszyny wirtualnej za pośrednictwem portalu przy użyciu połączenia SSH lub RDP i prywatnego adresu IP maszyny wirtualnej.
  • Usuń publiczny adres IP maszyny wirtualnej, jeśli nie potrzebujesz go dla niczego innego.

Ważne

Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać więcej informacji, zobacz Cennik i jednostki SKU. Jeśli wdrażasz usługę Bastion w ramach samouczka lub testu, zalecamy usunięcie tego zasobu po zakończeniu korzystania z niego.

Wymagania wstępne

Aby ukończyć ten przewodnik Szybki start, potrzebne są następujące zasoby:

  • Subskrypcja Azure. Jeśli jeszcze go nie masz, możesz aktywować korzyści dla subskrybentów MSDN lub utworzyć bezpłatne konto.

  • Maszyna wirtualna w sieci wirtualnej.

    Podczas wdrażania usługi Bastion przy użyciu wartości domyślnych wartości są pobierane z sieci wirtualnej, w której znajduje się maszyna wirtualna. Ta maszyna wirtualna nie staje się częścią samego wdrożenia usługi Bastion, ale nawiązujesz z nią połączenie w dalszej części ćwiczenia.

    Jeśli nie masz jeszcze maszyny wirtualnej w sieci wirtualnej, utwórz maszynę wirtualną przy użyciu przewodnika Szybki start: tworzenie maszyny wirtualnej z systemem Windows lub Szybki start: tworzenie maszyny wirtualnej z systemem Linux.

    Jeśli nie masz sieci wirtualnej, możesz utworzyć jedną w tym samym czasie, w której tworzysz maszynę wirtualną. Jeśli masz już sieć wirtualną, upewnij się, że jest ona wybrana na karcie Sieć podczas tworzenia maszyny wirtualnej.

  • Wymagane role maszyny wirtualnej:

    • Rola czytelnika na maszynie wirtualnej
    • Rola czytelnika na karcie sieciowej z prywatnym adresem IP maszyny wirtualnej

  • Wymagane porty wejściowe maszyny wirtualnej:

    • 3389 dla maszyn wirtualnych z systemem Windows
    • 22 dla maszyn wirtualnych z systemem Linux

Uwaga

Korzystanie z usługi Azure Bastion ze strefami usługi Azure Prywatna strefa DNS jest obsługiwane. Istnieją jednak ograniczenia. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące usługi Azure Bastion.

Przykładowe wartości

Podczas tworzenia tej konfiguracji możesz użyć następujących przykładowych wartości lub możesz zastąpić własną.

Podstawowe wartości sieci wirtualnej i maszyny wirtualnej

Nazwa/nazwisko Wartość
Maszyna wirtualna TestVM
Grupa zasobów: TestRG1
Region Wschodnie stany USA
Sieć wirtualna Sieć wirtualna 1
Przestrzeń adresowa 10.1.0.0/16
Podsieci FrontEnd: 10.1.0.0/24

Wartości bastionu

Podczas wdrażania z ustawień maszyny wirtualnej usługa Bastion jest automatycznie konfigurowana przy użyciu następujących wartości domyślnych z sieci wirtualnej.

Nazwisko Wartość domyślna
AzureBastionSubnet Utworzone w sieci wirtualnej jako /26
SKU Podstawowa
Nazwa/nazwisko Na podstawie nazwy sieci wirtualnej
Nazwa publicznego adresu IP Na podstawie nazwy sieci wirtualnej

Konfigurowanie podsieci AzureBastionSubnet

Podczas wdrażania usługi Azure Bastion zasoby są tworzone w określonej podsieci, która musi mieć nazwę AzureBastionSubnet. Nazwa podsieci umożliwia systemowi poznanie miejsca wdrażania zasobów. Wykonaj następujące kroki, aby dodać podsieć AzureBastionSubnet do sieci wirtualnej:

  1. Na stronie sieci wirtualnej w okienku po lewej stronie wybierz pozycję Podsieci, aby otworzyć stronę Podsieci .
  2. W górnej części strony kliknij pozycję + Podsieć , aby otworzyć okienko Dodaj podsieć .
  3. W polu Nazwa należy użyć wartości AzureBastionSubnet.
  4. W razie potrzeby dostosuj wartość zakresu adresów IP. Zalecamy użycie podsieci /26 lub większej (/26, /25 lub /24). Przykładowa wartość podsieci: 10.1.1.0/26.
  5. Nie dopasuj innych wartości na stronie. Kliknij przycisk Zapisz w dolnej części strony, aby zapisać podsieć.

Po dodaniu podsieci AzureBastionSubnet możesz przejść do następnej sekcji i wdrożyć usługę Bastion.

Wdrażanie usługi Bastion

Podczas tworzenia wystąpienia usługi Azure Bastion w portalu przy użyciu narzędzia Deploy Bastion usługa Bastion jest wdrażana automatycznie przy użyciu ustawień domyślnych i jednostki SKU w warstwie Podstawowa. Nie można modyfikować ani określać dodatkowych wartości dla wdrożenia domyślnego.

Po zakończeniu wdrażania możesz przejść do strony Konfiguracja hosta bastionu, aby wybrać pewne dodatkowe ustawienia i funkcje. Możesz również uaktualnić jednostkę SKU później, aby dodać więcej funkcji, ale nie można obniżyć wersji jednostki SKU po wdrożeniu usługi Bastion. Aby uzyskać więcej informacji, zobacz About Azure Bastion configuration settings (Informacje o ustawieniach konfiguracji usługi Azure Bastion).

  1. Zaloguj się w witrynie Azure Portal.

  2. W portalu przejdź do maszyny wirtualnej, z którą chcesz nawiązać połączenie. Wartości z sieci wirtualnej, w której znajduje się ta maszyna wirtualna, zostaną użyte do utworzenia wdrożenia usługi Bastion.

  3. Na stronie maszyny wirtualnej w sekcji Operacje w menu po lewej stronie wybierz pozycję Bastion.

  4. W okienku Bastion wybierz strzałkę obok pozycji Opcje wdrożenia dedykowanego, aby rozwinąć sekcję.

  5. W sekcji Tworzenie usługi Bastion wybierz pozycję Wdróż usługę Bastion.

    Screenshot that shows dedicated deployment options and the button for deploying an Azure Bastion instance.

  6. Usługa Bastion rozpoczyna wdrażanie. Ukończenie procesu może potrwać około 10 minut.

    Uwaga

    Jeśli zostanie wyświetlony komunikat "Nie można dodać podsieci", przed wdrożeniem usługi Bastion musisz dodać podsieć AzureBastionSubnet do sieci wirtualnej. Przejdź do strony Podsieci dla sieci wirtualnej i dodaj podsieć AzureBastionSubnet. Nazwa podsieci musi być azureBastionSubnet. Określony zakres adresów podsieci musi być /26 lub większy (na przykład /25 lub /24). Po dodaniu tej podsieci do sieci wirtualnej możesz wdrożyć usługę Bastion.

Łączenie z maszyną wirtualną

Po zakończeniu wdrażania usługi Bastion ekran zmieni się w okienku Połączenie.

  1. Wprowadź poświadczenia uwierzytelniania. Następnie wybierz pozycję Połączenie.

    Screenshot shows the pane for connecting by using Azure Bastion.

  2. Połączenie z tą maszyną wirtualną za pośrednictwem usługi Bastion zostanie otwarte bezpośrednio w witrynie Azure Portal (za pośrednictwem kodu HTML5) przy użyciu portu 443 i usługi Bastion. Gdy w portalu zostanie wyświetlony monit o uprawnienia do schowka, wybierz pozycję Zezwalaj. Ten krok umożliwia użycie zdalnych strzałek schowka po lewej stronie okna.

    Screenshot that shows an RDP connection to a virtual machine.

    Uwaga

    Po nawiązaniu połączenia pulpit maszyny wirtualnej może wyglądać inaczej niż na przykładowym zrzucie ekranu.

Używanie klawiszy skrótów klawiaturowych podczas nawiązywania połączenia z maszyną wirtualną może nie spowodować takiego samego zachowania, jak klawisze skrótów na komputerze lokalnym. Na przykład po nawiązaniu połączenia z maszyną wirtualną z systemem Windows z klienta systemu Windows ctrl+Alt+End jest skrótem klawiaturowym ctrl+Alt+Delete na komputerze lokalnym. Aby to zrobić z komputera Mac podczas nawiązywania połączenia z maszyną wirtualną z systemem Windows, skrót klawiaturowy to Fn+Ctrl+Alt+Backspace.

Włączanie danych wyjściowych dźwięku

Możesz włączyć zdalne dane wyjściowe audio dla maszyny wirtualnej. Niektóre maszyny wirtualne automatycznie włączają to ustawienie, natomiast inne wymagają ręcznego włączania ustawień dźwięku. Ustawienia są zmieniane na samej maszynie wirtualnej. Wdrożenie usługi Bastion nie wymaga żadnych specjalnych ustawień konfiguracji w celu włączenia zdalnych danych wyjściowych dźwięku.

Uwaga

Dane wyjściowe audio wykorzystują przepustowość połączenia internetowego.

Aby włączyć zdalne dane wyjściowe audio na maszynie wirtualnej z systemem Windows:

  1. Po nawiązaniu połączenia z maszyną wirtualną zostanie wyświetlony przycisk audio w prawym dolnym rogu paska narzędzi. Kliknij prawym przyciskiem myszy przycisk audio, a następnie wybierz pozycję Dźwięki.
  2. Zostanie wyświetlony komunikat podręczny z pytaniem, czy chcesz włączyć usługę audio systemu Windows. Wybierz opcję Tak. Więcej opcji dźwięku można skonfigurować w preferencjach dźwięku.
  3. Aby zweryfikować dane wyjściowe dźwięku, umieść wskaźnik myszy na przycisku audio na pasku narzędzi.

Usuwanie publicznego adresu IP maszyny wirtualnej

Podczas nawiązywania połączenia z maszyną wirtualną przy użyciu usługi Azure Bastion nie potrzebujesz publicznego adresu IP maszyny wirtualnej. Jeśli nie używasz publicznego adresu IP dla niczego innego, możesz usunąć skojarzenie go z maszyny wirtualnej:

  1. Przejdź do maszyny wirtualnej i wybierz pozycję Sieć. Kliknij pozycję Publiczny adres IP karty sieciowej.

    Screenshot of the Networking pane for a virtual network.

  2. W okienku Publiczny adres IP interfejs sieciowy maszyny wirtualnej jest wyświetlany w obszarze Skojarzone z. Wybierz pozycję Usuń skojarzenie w górnej części okienka.

    Screenshot of details for a virtual machine's public IP address.

  3. Wybierz pozycję Tak , aby usunąć skojarzenie adresu IP z interfejsu sieciowego maszyny wirtualnej. Po usunięciu skojarzenia publicznego adresu IP z interfejsu sieciowego sprawdź, czy nie jest już wyświetlany w obszarze Skojarzone z.

  4. Po usunięciu skojarzenia adresu IP można usunąć zasób publicznego adresu IP. W okienku Publiczny adres IP maszyny wirtualnej wybierz pozycję Usuń.

    Screenshot of the button for deleting a public IP address resource.

  5. Wybierz pozycję Tak , aby usunąć publiczny adres IP.

Czyszczenie zasobów

Po zakończeniu korzystania z sieci wirtualnej i maszyn wirtualnych usuń grupę zasobów i wszystkie zawarte w niej zasoby:

  1. Wprowadź nazwę grupy zasobów w polu Wyszukaj w górnej części portalu, a następnie wybierz ją z wyników wyszukiwania.

  2. Wybierz pozycję Usuń grupę zasobów.

  3. Wprowadź grupę zasobów w polu WPISZ NAZWĘ GRUPY ZASOBÓW, a następnie wybierz pozycję Usuń.

Następne kroki

W tym przewodniku Szybki start wdrożono usługę Bastion w sieci wirtualnej. Następnie nawiązaliśmy bezpieczne połączenie z maszyną wirtualną za pośrednictwem usługi Bastion. Następnie możesz skonfigurować więcej funkcji i pracować z połączeniami maszyn wirtualnych.

Połączenia i funkcje maszyny wirtualnej

Ustawienia konfiguracji usługi Azure Bastion