Udostępnij za pośrednictwem

Tworzenie linku z możliwością udostępniania dla usługi Bastion

  • Artykuł

Funkcja Link współużytkowania usługi Bastion umożliwia użytkownikom łączenie się z zasobem docelowym (maszyną wirtualną lub zestawem skalowania maszyn wirtualnych) przy użyciu usługi Azure Bastion bez uzyskiwania dostępu do Azure Portal. Ten artykuł ułatwia korzystanie z funkcji Link z możliwością udostępniania w celu utworzenia linku z możliwością udostępniania dla istniejącego wdrożenia usługi Azure Bastion.

Gdy użytkownik bez poświadczeń platformy Azure kliknie link do udostępniania, zostanie otwarta strona internetowa z monitem o zalogowanie się do zasobu docelowego za pośrednictwem protokołu RDP lub SSH. Użytkownicy uwierzytelniają się przy użyciu nazwy użytkownika i hasła lub klucza prywatnego, w zależności od tego, co zostało skonfigurowane dla zasobu docelowego. Link do udostępniania nie zawiera żadnych poświadczeń — administrator musi podać poświadczenia logowania użytkownikowi.

Domyślnie użytkownicy w organizacji będą mieć dostęp tylko do odczytu do udostępnionych linków. Jeśli użytkownik ma dostęp do odczytu, będzie mógł korzystać tylko z linków udostępnionych i wyświetlać je, ale nie może utworzyć ani usunąć linku z możliwością udostępniania. Aby uzyskać więcej informacji, zobacz sekcję Uprawnienia w tym artykule.

Zagadnienia do rozważenia

  • Linki do udostępniania nie są obecnie obsługiwane w przypadku wirtualnych sieci wirtualnych równorzędnych między dzierżawami.
  • Linki do udostępniania nie są obecnie obsługiwane w Virtual WAN.
  • Linki do udostępniania nie obsługują połączenia z lokalnymi lub spoza platformy Azure maszynami wirtualnymi i zestawami skalowania maszyn wirtualnych. 
  • Dla tej funkcji jest wymagana jednostka SKU w warstwie Standardowa.
  • Usługa Bastion obsługuje tylko 50 żądań, w tym tworzenie i usuwanie, w przypadku linków do udostępniania naraz.
  • Usługa Bastion obsługuje tylko 500 łączy z możliwością udostępniania na zasób usługi Bastion.

Wymagania wstępne

  • Usługa Azure Bastion jest wdrażana w sieci wirtualnej. Aby uzyskać instrukcje, zobacz Samouczek — wdrażanie usługi Bastion przy użyciu ustawień ręcznych .

  • Usługa Bastion musi być skonfigurowana do używania standardowej jednostki SKU dla tej funkcji. Jednostkę SKU można zaktualizować z warstwy Podstawowa do Standardowa podczas konfigurowania funkcji łączy z możliwością udostępniania.

  • Sieć wirtualna, w której wdrożono zasób usługi Bastion lub bezpośrednio równorzędna sieć wirtualna, zawiera zasób maszyny wirtualnej, do którego chcesz utworzyć łącze z możliwością udostępniania.

Przed utworzeniem linku z możliwością udostępniania do maszyny wirtualnej należy najpierw włączyć tę funkcję.

  1. W Azure Portal przejdź do zasobu bastionu.

  2. Na stronie usługi Bastion w okienku po lewej stronie kliknij pozycję Konfiguracja.

    Zrzut ekranu przedstawiający ustawienia konfiguracji z wybranym linkiem z możliwością udostępniania.

  3. Na stronie Konfiguracja w polu Warstwa wybierz pozycję Standardowa , jeśli nie została jeszcze wybrana. Ta funkcja wymaga jednostki SKU w warstwie Standardowa.

  4. Wybierz pozycję Link z możliwością udostępniania z wymienionych funkcji, aby włączyć funkcję Link z możliwością udostępniania.

  5. Sprawdź, czy wybrano żądane ustawienia, a następnie kliknij przycisk Zastosuj.

  6. Usługa Bastion natychmiast rozpocznie aktualizowanie ustawień hosta bastionu. Aktualizacje potrwa około 10 minut.

W tej sekcji określisz każdy zasób, dla którego chcesz utworzyć łącze z możliwością udostępniania

  1. W Azure Portal przejdź do zasobu bastionu.

  2. Na stronie bastionu w okienku po lewej stronie kliknij pozycję Linki z możliwością udostępniania. Kliknij pozycję + Dodaj , aby otworzyć stronę linku Utwórz z możliwością udostępniania .

    Zrzut ekranu przedstawiający stronę linków z możliwością udostępniania za pomocą polecenia + dodaj.

  3. Na stronie Tworzenie linku z możliwością udostępniania wybierz zasoby, dla których chcesz utworzyć link z możliwością udostępniania. Możesz wybrać określone zasoby lub wybrać wszystkie. Dla każdego wybranego zasobu zostanie utworzony oddzielny link z możliwością udostępniania. Kliknij przycisk Zastosuj , aby utworzyć łącza.

    Zrzut ekranu przedstawiający stronę linków z możliwością udostępniania w celu utworzenia linku z możliwością udostępniania.

  4. Po utworzeniu linków można je wyświetlić na stronie Linki z możliwością udostępniania . Poniższy przykład przedstawia linki dla wielu zasobów. Widać, że każdy zasób ma oddzielny link, a stan linku to Aktywny. Aby udostępnić link, skopiuj go, a następnie wyślij go do użytkownika. Link nie zawiera poświadczeń uwierzytelniania.

    Zrzut ekranu przedstawiający stronę linków z możliwością udostępniania, aby wyświetlić wszystkie dostępne linki zasobów.

Łączenie z maszyną wirtualną

  1. Po otrzymaniu linku użytkownik otworzy link w przeglądarce.

  2. W lewym rogu użytkownik może wybrać, czy chcesz zobaczyć tekst i obrazy skopiowane do schowka. Użytkownik wprowadza wymagane informacje, a następnie klika pozycję Zaloguj, aby nawiązać połączenie. Link udostępniony nie zawiera poświadczeń uwierzytelniania. Administrator musi podać poświadczenia logowania do użytkownika. Obsługiwane są niestandardowe porty i protokoły.

    Zrzut ekranu przedstawiający logowanie do bastionu przy użyciu linku z możliwością udostępniania w przeglądarce.

Uwaga

Jeśli link nie może być już otwarty, oznacza to, że ktoś w twojej organizacji usunął ten zasób. Mimo że nadal będzie można zobaczyć linki udostępnione na liście, nie będzie już łączyć się z zasobem docelowym i spowoduje błąd połączenia. Możesz usunąć link udostępniony na liście lub zachować go do celów inspekcji.

  1. W Azure Portal przejdź do zasobu usługi Bastion —> linki do udostępniania.

  2. Na stronie Linki z możliwością udostępniania wybierz link zasobu, który chcesz usunąć, a następnie kliknij pozycję Usuń.

    Zrzut ekranu przedstawiający wybieranie linku do usunięcia.

Uprawnienia

Uprawnienia do funkcji Link z możliwością udostępniania są konfigurowane przy użyciu kontroli dostępu (zarządzanie dostępem i tożsamościami). Domyślnie użytkownicy w organizacji będą mieć dostęp tylko do odczytu do udostępnionych linków. Jeśli użytkownik ma dostęp do odczytu, będzie mógł korzystać tylko z linków udostępnionych i wyświetlać je, ale nie może utworzyć ani usunąć łącza udostępnionego.

Aby nadać komuś uprawnienia do utworzenia lub usunięcia łącza udostępnionego, wykonaj następujące kroki:

  1. W Azure Portal przejdź do hosta usługi Bastion.

  2. Przejdź do strony Kontrola dostępu (IAM).

  3. W sekcji Microsoft.Network/bastionHosts skonfiguruj następujące uprawnienia:

    • Inne: tworzy adresy URL z możliwością udostępniania dla maszyn wirtualnych w ramach bastionu i zwraca adresy URL.
    • Inne: usuwa adresy URL z możliwością udostępniania dla podanych maszyn wirtualnych w ramach bastionu.
    • Inne: usuwa adresy URL z możliwością udostępniania dla podanych tokenów w bastionie.

    Odpowiadają one następującym poleceniom cmdlet programu PowerShell:

    • Microsoft.Network/bastionHosts/createShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinksByToken/action
    • Microsoft.Network/bastionHosts/getShareableLinks/action — jeśli to nie jest włączone, użytkownik nie będzie mógł wyświetlić linku z możliwością udostępniania.

Następne kroki