Краткое руководство: Развертывание Бастиона Azure на портале Azure

В этом кратком руководстве вы узнаете, как развернуть Azure Bastion в виртуальной сети на портале Azure. Бастион можно развернуть с параметрами по умолчанию для быстрого настройки, настроить настраиваемые параметры, чтобы указать SKU и параметры масштабирования, или использовать бесплатный номер SKU разработчика для базового подключения. После развертывания Бастиона можно использовать SSH или RDP для подключения к виртуальным машинам в виртуальной сети с помощью их частных IP-адресов. Виртуальные машины, которые вы подключаетесь, не требуют общедоступного IP-адреса, клиентского программного обеспечения, агента или специальной конфигурации. Дополнительные сведения о Бастионе см. в статье "Что такое Бастион Azure"?

Действия, описанные в этой статье, помогут вам:

• Разверните бастион в виртуальной сети с помощью портала Azure.
• Подключитесь к виртуальной машине через портал с помощью подключения SSH или RDP и частного IP-адреса виртуальной машины.
• Удалите общедоступный IP-адрес виртуальной машины, если он не нужен.

Внимание

Начисление почасовой оплаты начинается с момента развертывания "Бастиона", независимо от использования исходящих данных. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.

Предварительные условия

Чтобы завершить это краткое руководство, вам потребуются следующие ресурсы:

• Подписка Azure. Если у вас его еще нет, вы можете активировать преимущества подписчика MSDN или зарегистрироваться для получения бесплатной учетной записи.

• Виртуальная сеть , в которую будет развернут Бастион.

• Виртуальная машина в виртуальной сети. Эта виртуальная машина не входит в конфигурацию Бастиона и не становится узлом бастиона. Позже в ходе упражнения вы подключитесь к этой виртуальной машине. Если у вас нет виртуальной машины, создайте её, используя Краткое руководство: Создание виртуальной машины Windows или Краткое руководство: Создание виртуальной машины Linux.

• Требуемые роли на виртуальной машине:

  • роль Reader на виртуальной машине
  • Роль читателя на сетевом интерфейсе с частным IP-адресом виртуальной машины

• Обязательные порты для входящего трафика виртуальной машины:

  • Для виртуальных машин Windows: RDP (3389)
  • Для виртуальных машин Linux: SSH (22)

• Только для SKU разработчика: виртуальная машина должна находиться в регионе, поддерживающем Bastion Developer.

Примечание.

Использование Azure Bastion с зонами Azure Private DNS поддерживается. Однако существуют ограничения. Дополнительные сведения см. в Часто задаваемых вопросах о Бастионе Azure.

Развертывание Бастиона

Чтобы развернуть Бастион, войдите на портал Azure и перейдите к виртуальной машине или виртуальной сети.

Выберите вкладку для метода развертывания, который вы хотите использовать:

• Параметры по умолчанию: быстрое развертывание в один клик с помощью стандартного SKU.
• Пользовательские параметры: полный контроль над SKU, масштабированием, зонами доступности и другими функциями.
• Номер SKU разработчика (бесплатный) — вариант без затрат с основными функциями для разработки и тестирования. Использует архитектуру общего пула. Ограничено в определённых регионах.

Примечание.

Специальные развертывания (с настройками по умолчанию или пользовательскими) занимают около 10 минут для завершения. Версия SKU разработчика развертывается за секунды.

Параметры по умолчанию

При развертывании Bastion с помощью параметра "Развернуть Bastion ", Bastion разворачивается автоматически с использованием стандартной единицы учета SKU и параметров по умолчанию, основанных на вашей виртуальной сети. Вы можете настроить дополнительные параметры или обновить номер SKU после завершения развертывания.

На следующей схеме показана выделенная архитектура развертывания, используемая настройками предустановленных параметров.

Значения по умолчанию:

Чтобы развернуть бастион с параметрами по умолчанию, выполните следующие действия.

1. Перейдите в виртуальную сеть (или виртуальную машину). В левой области выберите Подключить>Бастион.
2. В панели Bastion выберите Развернуть Bastion.
3. Бастион развертывается автоматически с параметрами по умолчанию. Процесс развертывания занимает около 10 минут.

Пользовательские параметры

При развертывании Бастиона с помощью параметра "Настройка вручную " можно указать номер SKU, зоны доступности, количество экземпляров (масштабирование узла) и другие параметры. Дополнительные сведения о SKU и функциях см. в разделе сравнения SKU Бастиона.

На следующей схеме показана специализированная архитектура развертывания, используемая настройками Custom.

Чтобы развернуть бастион с настраиваемыми параметрами, выполните следующие действия.

1. Перейдите в виртуальную сеть (или виртуальную машину). В левой области выберите Подключить>Бастион.

2. В области Бастиона выберите "Настроить вручную".

3. На панели Создание Бастиона настройте параметры экземпляра:

   Setting	Значение
   Имя	Укажите имя ресурса Бастиона. Например, vNet1-бастион.
   Регион	Выберите регион, в котором находится виртуальная сеть.
   Зона доступности	При желании выберите зоны из раскрывающегося списка. Только определенные регионы поддерживают зоны доступности. Дополнительные сведения см. в разделе "Что такое зоны доступности?"
   Уровень	Выберите номер SKU. Сведения о функциях, доступных для каждого типа SKU, см. в сравнении SKU Бастиона.
   Число экземпляров	Настройте масштабирование узлов по единицам масштаба. Дополнительные сведения можно найти в разделах «Экземпляры и масштабирование узлов» и стоимость Azure Bastion.

4. Настройте параметры виртуальных сетей. Выберите виртуальную сеть из раскрывающегося списка.

5. Настройте подсеть. Если у вас уже есть AzureBastionSubnet, он автоматически выбран. Если нет, создайте его:

   1. Выберите "Изменить подсеть".

   2. В области "Изменить подсеть " настройте следующие значения и нажмите кнопку "Сохранить".

      Setting	Значение
      Назначение подсети	Выберите Azure Bastion в раскрывающемся списке.
      Диапазон адресов IPv4	Введите диапазон адресов IPv4 (например, 10.1.1.0/26).
      Начальный адрес	Введите начальный IP-адрес подсети (например, 10.1.1.0).
      размера	Выберите /26 или больше.

6. Настройте параметры общедоступного IPv4-адреса :

   • Чтобы создать общедоступный IP-адрес, нажмите кнопку "Создать" и введите имя (например, VNet1-ip).
   • Чтобы использовать существующий общедоступный IP-адрес, выберите "Использовать существующий " и выберите СВОЙ IP-адрес в раскрывающемся списке.

7. Выберите вкладку "Дополнительно ", чтобы настроить дополнительные параметры при необходимости. Дополнительные сведения об этих параметрах см. в разделе "Параметры конфигурации Бастиона Azure".

8. Выберите Проверка и создание, а затем нажмите Создать.

Номер SKU разработчика (бесплатный)

Разработчик Бастиона Azure обеспечивает безопасное подключение на основе браузера к виртуальной машине без дополнительных затрат. При подключении Bastion Developer автоматически развертывается на виртуальной сети, используя архитектуру общего пула.

При подключении к Bastion Developer требования к развертыванию отличаются от требований при развертывании с использованием других SKU (идентификаторов товара). Обычно, при создании узла-бастиона, узел размещается в AzureBastionSubnet в вашей виртуальной сети. Выделенный сервер Bastion предназначен для вашего использования, а Bastion Developer - нет. Так как ресурс Bastion Developer не выделен, функции Bastion Developer ограничены. Вы всегда можете обновить Bastion Developer до определенного SKU, если вам нужна поддержка дополнительных функций. См. статью об обновлении номера SKU.

Чтобы развернуть Bastion Developer:

1. Убедитесь, что виртуальная сеть находится в регионе, поддерживающем Bastion Developer.
2. Перейдите к виртуальной сети. В левой области выберите Подключить>Бастион.
3. В области бастиона выберите тип проверки подлинности, введите учетные данные и нажмите кнопку "Подключить".

При выборе Подключиться Bastion Developer автоматически разворачивается в вашей виртуальной сети. Подключение открывается непосредственно на портале Azure. При отключении ресурс Bastion Developer остается развернутым для будущих подключений.

В настоящее время Bastion Developer доступен в следующих регионах:

Американский континент	Европа	Asia Pacific	Ближний Восток и Африка
Бразилия (Юг)	Центральная Франция	Центральная Австралия	Север Южной Африки
Canada Central	Западно-Центральная Германия	Australia East	UAE North
Canada East	Italy North	Australia Southeast
Central US	North Europe	Центральная Индия
Центральная часть США (EUAP)	Norway East	East Asia
Восток США 2	Spain Central	Japan East
Восток США 2 EUAP	Центральная Швеция	Западная Япония
Mexico Central	Switzerland North	Korea Central
северо-центральная часть США	UK South	Корея (юг)
центрально-западная часть США	UK West	South India
West US	West Europe	Юго-Восточная Азия

Подключение к виртуальной машине

После развертывания Бастиона экран изменится на панель "Подключение ". Для подключения к виртуальной машине можно использовать любую из следующих статей. Для некоторых типов подключений требуются определенные номера SKU Бастиона.

• Подключение к виртуальной машине Windows
  • RDP
  • SSH
• Подключение к виртуальной машине Linux
  • SSH
• Подключение к масштабируемому набору
• Подключение через IP-адрес
• Подключение из родного клиента
  • Клиент Windows
  • Клиент Linux/SSH

Для подключения к виртуальной машине можно также использовать следующие основные шаги подключения:

1. На портале Azure перейдите к виртуальной машине, к которой необходимо подключиться.

2. В верхней части панели выберите Подключить>Бастион, чтобы перейти к панели Бастиона. Вы также можете перейти на панель Бастиона с помощью левого меню.

3. Параметры, доступные на панели Бастиона, зависят от номера SKU Бастиона .

   Если вы используете номер SKU "Стандартный" или "Более высокий", у вас есть дополнительные параметры протокола подключения и порта. Разверните Параметры подключения, чтобы увидеть опции. Обычно, если вы не задаёте другие настройки для виртуальной машины, подключение к компьютеру с Windows осуществляется с использованием RDP и порта 3389. Подключение к компьютеру Linux с помощью SSH и порта 22.

   Если вы используете SKU Basic, вы подключаетесь к компьютеру под управлением Windows с помощью RDP и порта 3389. Для Basic SKU подключение к компьютеру Linux осуществляется с помощью SSH и порта 22. Вы не можете изменить номер порта или протокол. Однако вы можете изменить язык клавиатуры для RDP, расширив параметры подключения на этой панели.

   Если вы используете номер SKU разработчика, бастион развертывается автоматически при первом подключении. Подключение к компьютеру Windows с помощью RDP и порта 3389 или компьютера Linux с помощью SSH и порта 22. SKU разработчика использует архитектуру общего пула и предоставляется без дополнительных затрат в отдельных регионах.

4. Для типа проверки подлинности выберите тип проверки подлинности из раскрывающегося списка. Протокол определяет доступные типы проверки подлинности. Укажите необходимые значения проверки подлинности.

5. Чтобы открыть сеанс виртуальной машины на новой вкладке браузера, оставьте "Открыть" на новой вкладке браузера.

6. Выберите Подключиться, чтобы подключиться к виртуальной машине.

7. Убедитесь, что подключение к виртуальной машине открывается непосредственно в портал Azure (через HTML5) с помощью порта 443 и службы Бастиона.

Использование сочетаний клавиш при подключении к виртуальной машине может не привести к тому же поведению, что и сочетания клавиш на локальном компьютере. Например, при подключении к виртуальной машине Windows из клиента Windows, сочетание клавиш CTRL+ALT+END работает как сочетание клавиш CTRL+ALT+DELETE на локальном компьютере. Чтобы сделать это на Mac при подключении к виртуальной машине Windows, используйте сочетание клавиш fn+control+option+delete.

Примечание.

Использование сочетаний клавиш при подключении к виртуальной машине может не привести к тому же поведению, что и сочетания клавиш на локальном компьютере. Например, при подключении к виртуальной машине Windows из клиента Windows, сочетание клавиш CTRL+ALT+END работает как сочетание клавиш CTRL+ALT+DELETE на локальном компьютере. Для этого на Mac, когда вы подключены к виртуальной машине Windows, нажмите сочетание клавиш Fn+Ctrl+Alt+Backspace.

Удаление общедоступного IP-адреса виртуальной машины

При подключении к виртуальной машине с помощью Бастиона Azure не требуется общедоступный IP-адрес для виртуальной машины. Если вы не используете общедоступный IP-адрес для других компонентов, вы можете отключить его от виртуальной машины:

1. Перейдите на виртуальную машину. На странице Обзор щелкните по общедоступному IP-адресу, чтобы открыть соответствующую страницу.

2. На странице общедоступного IP-адреса перейдите в раздел "Обзор". Вы можете просмотреть ресурс, с которым связан этот IP-адрес. Выберите Отсоединить в верхней части области.

3. Выберите "Да ", чтобы разъединить IP-адрес из сетевого интерфейса виртуальной машины. После разъединения общедоступного IP-адреса из сетевого интерфейса убедитесь, что он больше не указан в разделе "Связанные".

4. После отключения IP-адреса можно удалить ресурс общедоступного IP-адреса. В области общедоступных IP-адресов виртуальной машины в верхней части страницы обзора нажмите кнопку "Удалить".

5. Выберите "Да" , чтобы удалить общедоступный IP-адрес.

Очистка ресурсов

Завершив использование виртуальной сети и виртуальных машин, удалите группу ресурсов и все ресурсы, содержащиеся в ней:

1. Введите имя группы ресурсов в поле поиска в верхней части портала, а затем выберите его из результатов поиска.

2. Выберите команду Удалить группу ресурсов.

3. Введите группу ресурсов для ТИПА ИМЕНИ ГРУППЫ РЕСУРСОВ и нажмите кнопку "Удалить".

Следующие шаги

В этом кратком руководстве вы развернули Бастион в виртуальной сети и безопасно подключились к виртуальной машине через Бастион. Затем можно настроить дополнительные функции и работать с подключениями к виртуальным машинам.

Подключения и функции виртуальных машин

Параметры конфигурации Бастиона Azure

Сравнение SKU бастиона