Развертывание бастиона с помощью Azure CLI

В этой статье показано, как развернуть Azure Bastion с помощью ИНТЕРФЕЙСА командной строки. Azure Bastion — это служба PaaS, которая управляется за вас, а не узел бастиона, устанавливаемый на виртуальной машине и обслуживаемый вами. Развертывание Azure Bastion выполняется для каждой виртуальной сети, а не для каждой подписки или учетной записи или виртуальной машины. Дополнительные сведения об Azure Bastion см. в разделе Что такое Azure Bastion?

После развертывания Бастиона в виртуальной сети можно подключиться к виртуальным машинам через частный IP-адрес. Эта простая возможность подключения по протоколам RDP и SSH доступна для всех виртуальных машин в пределах одной и той же виртуальной сети. Если общедоступный IP-адрес на виртуальной машине не требуется для других целей, его можно удалить.

В этой статье вы создадите виртуальную сеть (если у вас еще нет), разверните Azure Bastion с помощью интерфейса командной строки и подключитесь к виртуальной машине. Вы также можете развернуть Бастион с помощью следующих других методов:

• портал Azure
• Azure PowerShell
• Краткое руководство. Развертывание бастиона с параметрами по умолчанию и номером SKU уровня "Стандартный"

Примечание.

Поддерживается использование Azure Bastion с зонами Azure Private DNS. Однако существуют ограничения. Дополнительные сведения см. в разделе Azure Bastion вопросы и ответы.

Перед началом

подписка Azure

Убедитесь, что у вас есть Azure подписка. Если у вас еще нет подписки Azure, вы можете активировать преимущества подписчика MSDN или зарегистрироваться для учетной записи free.

Azure CLI

В этой статье используется Azure CLI. Для выполнения команд можно использовать Azure Cloud Shell. Azure Cloud Shell — это бесплатная интерактивная оболочка, которую можно использовать для выполнения действий, описанных в этой статье. В ней есть стандартные Azure средства, предварительно установленные и настроенные для использования с вашей учетной записью.

Чтобы открыть Cloud Shell, просто выберите Try it в правом верхнем углу блока кода. Вы также можете запустить Cloud Shell на отдельной вкладке браузера, выбрав https://shell.azure.com и переключив раскрывающийся список в левом углу, чтобы отразить Bash или PowerShell. Выберите Copy, чтобы скопировать блоки кода, вставить его в Cloud Shell и нажать клавишу ВВОД, чтобы запустить его.

Развертывание Бастиона

В этом разделе описано, как развернуть Azure Bastion с помощью Azure CLI.

Внимание

Почасовая тарификация начинается с момента развертывания Бастиона, независимо от объема исходящего трафика. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.

1. Если у вас еще нет виртуальной сети, создайте группу ресурсов и виртуальную сеть с помощью az group create и az network vnet create.

   az group create --name TestRG1 --location eastus
   

   az network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24
   

2. Используйте az network vnet subnet create , чтобы создать подсеть, в которую будет развернут бастион. Созданная подсеть должна называться AzureBastionSubnet. Эта подсеть резервируется исключительно для Azure Bastion ресурсов. Если у вас нет подсети с именем AzureBastionSubnet, бастион не будет развернут.

   • Наименьший размер создаваемой подсети AzureBastionSubnet — /26. Мы рекомендуем создать подсеть с размером /26 или больше, чтобы обеспечить масштабирование хостов.
     • Дополнительные сведения о масштабировании узла см. в разделе Параметры конфигурации: масштабирование узлов.
     • Дополнительные сведения о параметрах см. в разделе Параметры конфигурации: AzureBastionSubnet.
   • Создайте AzureBastionSubnet без каких-либо таблиц маршрутизации или делегирований.
   • Если вы используете группы безопасности сети в подсети AzureBastionSubnet, см. статью Работа с группами безопасности сети.

   az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26
   

3. Создайте общедоступный IP-адрес для Azure Bastion. Общедоступный IP-адрес — это общедоступный IP-адрес ресурса Бастиона, на котором будет доступен RDP/SSH (через порт 443). Общедоступный IP-адрес должен находиться в том же регионе, что и создаваемый ресурс Бастиона. По этой причине обратите особое внимание на указанное --location значение.

   az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastus
   

4. Используйте az network Bastion create для создания нового ресурса Azure Bastion для виртуальной сети. Создание и развертывание ресурса Бастиона занимает около 10 минут.

   В следующем примере выполняется развертывание Бастиона с помощью базового SKU. Вы также можете развернуть с использованием других SKU. Номер SKU определяет функции, поддерживаемые развертыванием Бастиона. Если в команде не указан номер SKU, номер SKU по умолчанию имеет значение "Стандартный". Дополнительные сведения см. в разделе Номера SKU Бастиона.

   az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic
   

Подключение к виртуальной машине

Если у вас еще нет виртуальных машин в виртуальной сети, можно создать виртуальную машину с помощью Quickstart: создание виртуальной машины Windows или Quickstart: создание виртуальной машины Linux

Чтобы подключиться к виртуальной машине, можно использовать любую из следующих статей или действия, описанные в следующем разделе. Для некоторых типов подключений необходим Bastion Standard SKU или выше.

• Подключение к виртуальной машине Windows
  • RDP
  • SSH
• Подключение к виртуальной машине Linux
  • SSH
• Подключение к масштабируемому набору
• Подключение через IP-адрес
• Подключение из родного клиента
  • Windows клиент
  • Клиент Linux/SSH

Подключение с помощью портала

Ниже описано, как выполнить одно из типов подключения с помощью портала Azure.

1. На портале Azure перейдите на виртуальную машину, к которой требуется подключиться.

2. В верхней части панели выберите Подключить>Бастион, чтобы перейти к панели Бастиона. Вы также можете перейти на панель Бастиона с помощью левого меню.

3. Параметры, доступные на панели Бастиона, зависят от номера SKU Бастиона .

   Если вы используете SKU «Стандартный» или выше, у вас есть больше вариантов протоколов подключения и портов. Разверните Параметры подключения, чтобы увидеть опции. Как правило, если для виртуальной машины не настроены разные параметры, подключитесь к компьютеру Windows с помощью RDP и порта 3389. Подключение к компьютеру Linux с помощью SSH и порта 22.

   Если вы используете SKU Basic, подключитесь к компьютеру Windows, используя RDP и порт 3389. Кроме того, для базового SKU подключитесь к компьютеру Linux с помощью SSH и порта 22. Вы не можете изменить номер порта или протокол. Однако вы можете изменить язык клавиатуры для RDP, расширив параметры подключения на этой панели.

   Если вы используете номер SKU разработчика, бастион развертывается автоматически при первом подключении. Подключение к компьютеру Windows с помощью RDP и порта 3389 или на компьютере Linux с помощью SSH и порта 22. SKU для разработчиков использует архитектуру общего пула и предоставляется без дополнительных затрат в избранных регионах.

4. Для типа проверки подлинности выберите тип проверки подлинности из раскрывающегося списка. Протокол определяет доступные типы проверки подлинности. Укажите необходимые значения проверки подлинности.

5. Чтобы открыть сеанс виртуальной машины на новой вкладке браузера, оставьте "Открыть" на новой вкладке браузера.

6. Выберите Подключиться, чтобы подключиться к виртуальной машине.

7. Убедитесь, что подключение к виртуальной машине открывается непосредственно на портале Azure (через HTML5) с помощью порта 443 и службы Бастиона.

Использование сочетаний клавиш при подключении к виртуальной машине может не привести к тому же поведению, что и сочетания клавиш на локальном компьютере. Например, при подключении к виртуальной машине Windows с клиента Windows сочетание клавиш CTRL+ALT+END используется вместо сочетания клавиш CTRL+ALT+DELETE на локальном компьютере. Чтобы сделать это на Mac во время подключения к виртуальной машине Windows, используйте сочетание клавиш fn+control+option+delete.

Включение аудиовыхода

Вы можете включить удаленный аудиовыход для виртуальной машины. Некоторые виртуальные машины автоматически позволяют включить этот параметр, а другие — включить параметры звука вручную. Параметры можно изменить на самой виртуальной машине. В вашем развертывании Бастиона не нужно настраивать специальные параметры конфигурации для включения удаленного аудиовыхода. В данный момент аудиоввод не поддерживается.

Примечание.

Аудиовыход потребляет пропускную способность вашего интернет-соединения.

Чтобы включить удаленный выход звука на виртуальной машине Windows, выполните следующие действия.

1. После подключения к виртуальной машине на панели инструментов появится кнопка звука в правом нижнем углу панели инструментов. Щелкните правой кнопкой мыши звук и выберите "Звуки".
2. Всплывающее сообщение запрашивает, нужно ли включить Windows аудиослужбу. Выберите Да. Дополнительные параметры звука можно настроить в параметрах звука.
3. Чтобы проверить выходные данные звука, наведите указатель мыши на кнопку звука на панели инструментов.

Удаление общедоступного IP-адреса виртуальной машины

Azure Bastion не использует общедоступный IP-адрес для подключения к клиентской виртуальной машине. Если общедоступный IP-адрес виртуальной машины вам не нужен, вы можете отменить связь с ним. См. раздел Отсоединение общедоступного IP-адреса от виртуальной машины Azure.

Следующие шаги

• Сведения об использовании групп безопасности сети с подсетью Azure Bastion см. в статье Work with NSG.
• Чтобы понять пиринг VNet, см. статью о пиринге VNet и Azure Bastion.