Развертывание Бастиона с помощью Azure CLI

В этой статье описывается развертывание Бастиона Azure с помощью интерфейса командной строки. Бастион Azure — это служба PaaS, которая поддерживается для вас, а не узел-бастион, который вы устанавливаете на свою виртуальную машину и поддерживаете самостоятельно. Бастион Azure развертывается на уровне виртуальной сети, а не подписки, учетной записи или виртуальной машины. Дополнительные сведения о Бастионе Azure см. в статье Что такое Бастион Azure.

После развертывания Бастиона в виртуальной сети можно подключиться к виртуальным машинам через частный IP-адрес. Эта простая возможность подключения по протоколам RDP и SSH доступна для всех виртуальных машин в пределах одной и той же виртуальной сети. Если общедоступный IP-адрес на виртуальной машине не требуется для других целей, его можно удалить.

В этой статье вы создадите виртуальную сеть (если у вас еще нет), разверните Бастион Azure с помощью ИНТЕРФЕЙСА командной строки и подключитесь к виртуальной машине. Вы также можете развернуть Бастион с помощью следующих других методов:

• Портал Azure
• Azure PowerShell
• Краткое руководство. Развертывание с параметрами по умолчанию

Примечание.

Использование Бастиона Azure с зонами Azure Частная зона DNS поддерживается. Однако существуют ограничения. Дополнительные сведения см. в часто задаваемых вопросы о Бастионе Azure.

Подготовка

Подписка Azure.

Убедитесь в том, что у вас уже есть подписка Azure. Если у вас нет подписки Azure, вы можете активировать преимущества для подписчиков MSDN или зарегистрировать бесплатную учетную запись.

Azure CLI

В этой статье используется Azure CLI. Для запуска команд можно использовать Azure Cloud Shell. Azure Cloud Shell — это бесплатная интерактивная оболочка, с помощью которой можно выполнять действия, описанные в этой статье. Она включает предварительно установленные общие инструменты Azure и настроена для использования с вашей учетной записью.

Чтобы открыть Cloud Shell, просто выберите Попробовать в правом верхнем углу блока кода. Можно также запустить Cloud Shell на отдельной вкладке браузера, перейдя по адресу https://shell.azure.com и развернув раскрывающийся список в левом углу, чтобы отобразить пункт с Bash или PowerShell. Нажмите кнопку Копировать, чтобы скопировать блоки кода. Вставьте код в Cloud Shell и нажмите клавишу "ВВОД", чтобы выполнить его.

Развертывание Бастиона

В этом разделе показано, как развернуть Бастион Azure с помощью Azure CLI.

Внимание

Почасовая цена начинается с момента развертывания Бастиона независимо от использования исходящих данных. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.

1. Если у вас еще нет виртуальной сети, создайте группу ресурсов и виртуальную сеть с помощью az group create и az network vnet create.

   az group create --name TestRG1 --location eastus
   

   az network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24
   

2. Используйте az network vnet subnet create , чтобы создать подсеть, в которую будет развернут бастион. Созданная подсеть должна называться AzureBastionSubnet. Эта подсеть резервируется исключительно для ресурсов Бастиона Azure. Если у вас нет подсети со значением именования AzureBastionSubnet, бастион не будет развернут.

   • Наименьший размер создаваемой подсети AzureBastionSubnet — /26. Мы рекомендуем создать подсеть с размером /26 или больше, чтобы обеспечить масштабирование узлов.
     • Дополнительные сведения о масштабировании узла см. в разделе Параметры конфигурации: масштабирование узлов.
     • Дополнительные сведения о параметрах см. в разделе Параметры конфигурации: AzureBastionSubnet.
   • Создайте AzureBastionSubnet без каких-либо таблиц маршрутизации или делегирований.
   • Если вы используете группы безопасности сети в подсети AzureBastionSubnet, см. статью Работа с группами безопасности сети.

   az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26
   

3. Создайте общедоступный IP-адрес для Бастиона Azure. Общедоступный IP-адрес используется ресурсом Бастиона для доступа по протоколу RDP или SSH (через порт 443). Общедоступный IP-адрес должен находиться в том же регионе, что и создаваемый ресурс Бастиона. По этой причине обратите особое внимание на указанное --location значение.

   az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastus
   

4. Используйте az network бастион create , чтобы создать новый ресурс Бастиона Azure для виртуальной сети. Создание и развертывание ресурса Бастиона занимает около 10 минут.

   В следующем примере выполняется развертывание Бастиона с помощью уровня SKU "Базовый". Вы также можете развернуть с помощью других номеров SKU. Номер SKU определяет функции, поддерживаемые развертыванием Бастиона. Если в команде не указан номер SKU, номер SKU по умолчанию имеет значение "Стандартный". Дополнительные сведения см. в разделе Номера SKU Бастиона.

   az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic
   

Подключение к виртуальной машине

Если у вас еще нет виртуальных машин в виртуальной сети, можно создать виртуальную машину с помощью краткого руководства. Создание виртуальной машины Windows или краткое руководство. Создание виртуальной машины Linux

Чтобы подключиться к виртуальной машине, можно использовать любую из следующих статей или действия, описанные в следующем разделе. Для некоторых типов подключений требуется номер SKU "Бастион стандартный" или более поздней версии.

• Подключение к виртуальной машине Windows
  • RDP
  • SSH
• Подключение к виртуальной машине Linux
  • SSH
• Подключение к масштабируемому набору
• Подключение через IP-адрес
• Подключение из собственного клиента
  • Клиент Windows
  • Клиент Linux/SSH

Подключение с помощью портала

Ниже описано, как выполнить одно из типов подключения с помощью портал Azure.

1. На портале Azure перейдите к виртуальной машине, к которой необходимо подключиться.

2. В верхней части области выберите "Подключить>бастион", чтобы перейти к области Бастиона. Вы также можете перейти в область Бастиона с помощью меню слева.

3. Параметры, доступные на панели Бастиона, зависят от номера SKU Бастиона . Если вы используете базовый номер SKU, подключитесь к компьютеру с Windows с помощью RDP и порта 3389. Кроме того, для номера SKU уровня "Базовый" подключитесь к компьютеру Linux с помощью SSH и порта 22. Вы не можете изменить номер порта или протокол. Однако вы можете изменить раскладку клавиатуры для RDP, развернув параметры подключения.

   

   Если вы используете номер SKU "Стандартный", доступны дополнительные параметры протокола подключения и порта. Разверните узел Параметры подключения, чтобы просмотреть варианты. Как правило, если для виртуальной машины не настроены разные параметры, подключение к компьютеру Windows с помощью RDP и порта 3389. Подключение к компьютеру Linux с помощью SSH и порта 22.

   

4. Для типа проверки подлинности выберите в раскрывающемся списке. Протокол определяет доступные типы проверки подлинности. Укажите необходимые значения проверки подлинности.

   

5. Чтобы открыть сеанс виртуальной машины на новой вкладке браузера, оставьте "Открыть" на новой вкладке браузера.

6. Выберите Подключиться, чтобы подключиться к виртуальной машине.

7. Убедитесь, что подключение к виртуальной машине открывается непосредственно в портал Azure (через HTML5) с помощью порта 443 и службы Бастиона.

   

   Примечание.

   При подключении рабочий стол виртуальной машины будет выглядеть по-другому, чем на примере снимка экрана.

Использование сочетаний клавиш при подключении к виртуальной машине может привести к тому же поведению, что и сочетания клавиш на локальном компьютере. Например, при подключении к виртуальной машине Windows из клиента Windows сочетание клавиш CTRL+ALT+END — сочетание клавиш CTRL+ALT+DELETE на локальном компьютере. Для этого из Mac во время подключения к виртуальной машине Windows сочетание клавиш Fn+CTRL+ALT+Backspace.

Включение аудиовыхода

Вы можете включить удаленный аудиовыход для виртуальной машины. Некоторые виртуальные машины автоматически позволяют включить этот параметр, а другие — включить параметры звука вручную. Параметры можно изменить на самой виртуальной машине. В вашем развертывании Бастиона не нужно настраивать специальные параметры конфигурации для включения удаленного аудиовыхода.

Примечание.

Выходные данные звука используют пропускную способность для подключения к Интернету.

Чтобы включить удаленный аудиовыход на виртуальной машине Windows, сделайте следующее:

1. После подключения к виртуальной машине на панели инструментов появится кнопка звука в правом нижнем углу панели инструментов. Щелкните правой кнопкой мыши звук и выберите "Звуки".
2. Всплывающее сообщение запрашивает, нужно ли включить аудиослужбу Windows. Выберите Да. Дополнительные параметры звука можно настроить в параметрах звука.
3. Чтобы проверить выходные данные звука, наведите указатель мыши на кнопку звука на панели инструментов.

Удаление общедоступного IP-адреса виртуальной машины

Бастион Azure не использует общедоступный IP-адрес для подключения к клиентской виртуальной машине. Если общедоступный IP-адрес виртуальной машины вам не нужен, вы можете отменить связь с ним. См. статью Отмена связи общедоступного IP-адреса с виртуальной машиной Azure.

Следующие шаги

• Сведения об использовании групп безопасности сети с подсетью Бастиона Azure см. в статье Работа с группами безопасности сети.
• Сведения о пиринге виртуальных сетей см. в статье Пиринг между виртуальными сетями и Бастион Azure.