Создание ссылки для бастиона с возможностью общего доступа

  • Статья

Функция "Ссылка для общего доступа к Бастиону" позволяет пользователям подключаться к целевому ресурсу (виртуальной машине или масштабируемому набору виртуальных машин) с помощью Бастиона Azure без доступа к портал Azure. Эта статья поможет вам использовать функцию ссылки с общим доступом для создания ссылки для общего доступа для существующего развертывания Бастиона Azure.

Когда пользователь без учетных данных Azure щелкает ссылку, доступную для общего доступа, открывается веб-страница, предлагающая пользователю войти в целевой ресурс по протоколу RDP или SSH. Пользователи проходят проверку подлинности с помощью имени пользователя и пароля или закрытого ключа в зависимости от того, что вы настроили для целевого ресурса. Ссылка для общего доступа не содержит учетных данных. Администратор должен предоставить учетные данные для входа для пользователя.

По умолчанию пользователи в вашей организации будут иметь доступ только на чтение общих ссылок. Если у пользователя есть доступ на чтение, он сможет только использовать и просматривать общие ссылки, но не сможет создать или удалить ссылку, доступную для общего доступа. Дополнительные сведения см. в разделе Разрешения этой статьи.

Рекомендации

  • Ссылки с общим доступом в настоящее время не поддерживаются для одноранговых виртуальных сетей в разных клиентах.
  • Ссылки, доступные для общего доступа, в настоящее время не поддерживаются в течение Виртуальная глобальная сеть.
  • Ссылки для общего доступа не поддерживают подключение к локальным или сторонним виртуальным машинам и VMSS. 
  • Для этой функции требуется номер SKU "Стандартный".
  • Бастион поддерживает только 50 запросов, включая создание и удаление, для ссылок, доступных для общего доступа.
  • Бастион поддерживает только 500 ссылок для общего доступа на ресурс Бастиона.

Предварительные требования

  • Бастион Azure развертывается в виртуальной сети. Инструкции см. в руководстве по развертыванию Бастиона с помощью параметров вручную .

  • Бастион должен быть настроен для использования номера SKU "Стандартный" для этой функции. Вы можете обновить номер SKU с "Базовый" на "Стандартный" при настройке функции ссылок для общего доступа.

  • Виртуальная сеть, в которой развернут ресурс Бастиона, или виртуальная сеть с прямым пирингом, содержит ресурс виртуальной машины, к которому требуется создать ссылку для общего доступа.

Прежде чем создать ссылку для общего доступа к виртуальной машине, необходимо сначала включить эту функцию.

  1. В портал Azure перейдите к ресурсу бастиона.

  2. На странице Бастиона в области слева щелкните Конфигурация.

    Снимок экрана: параметры конфигурации с выбранной ссылкой для общего доступа.

  3. На странице Конфигурация в поле Уровень выберите Стандартный , если он еще не выбран. Для этой функции требуется номер SKU "Стандартный".

  4. Выберите Ссылку для общего доступа в списке функций, чтобы включить функцию ссылки для общего доступа.

  5. Убедитесь, что выбраны нужные параметры, а затем нажмите кнопку Применить.

  6. Бастион немедленно начнет обновление параметров узла бастиона. Обновления займет около 10 минут.

В этом разделе вы укажете каждый ресурс, для которого требуется создать ссылку для общего доступа.

  1. В портал Azure перейдите к ресурсу бастиона.

  2. На странице бастиона в области слева щелкните Ссылки для общего доступа. Нажмите кнопку + Добавить , чтобы открыть страницу Создание ссылки для общего доступа .

    Снимок экрана: страница ссылок, доступных для общего доступа, со +добавить.

  3. На странице Создание ссылки для общего доступа выберите ресурсы, для которых требуется создать ссылку для общего доступа. Можно выбрать определенные ресурсы или все. Для каждого выбранного ресурса будет создана отдельная ссылка для общего доступа. Нажмите кнопку Применить , чтобы создать ссылки.

    Снимок экрана: страница ссылок для общего доступа для создания ссылки для общего доступа.

  4. После создания ссылок их можно просмотреть на странице Ссылки для общего доступа . В следующем примере показаны ссылки для нескольких ресурсов. Вы видите, что каждый ресурс имеет отдельную ссылку и состояние ссылки — Активно. Чтобы поделиться ссылкой, скопируйте ее, а затем отправьте пользователю. Ссылка не содержит учетные данные проверки подлинности.

    Снимок экрана: страница ссылок, доступных для общего доступа, на котором отображаются все доступные ссылки на ресурсы.

Подключение к виртуальной машине

  1. Получив ссылку, пользователь открывает ее в браузере.

  2. В левом углу пользователь может выбрать, следует ли просматривать текст и изображения, скопированные в буфер обмена. Пользователь вводит необходимые сведения, а затем нажимает кнопку Вход для подключения. Общая ссылка не содержит учетные данные проверки подлинности. Администратор должен предоставить пользователю учетные данные для входа. Поддерживаются пользовательские порты и протоколы.

    Снимок экрана: вход в бастион с помощью ссылки для общего доступа в браузере.

Примечание

Если ссылку больше не удается открыть, это означает, что кто-то в вашей организации удалил этот ресурс. Хотя вы по-прежнему сможете видеть общие ссылки в списке, он больше не будет подключаться к целевому ресурсу и приведет к ошибке подключения. Вы можете удалить общую ссылку в списке или сохранить ее в целях аудита.

  1. В портал Azure перейдите к ресурсу Бастиона —> ссылки для общего доступа.

  2. На странице Ссылки для общего доступа выберите ссылку на ресурс, которую требуется удалить, а затем нажмите кнопку Удалить.

    Снимок экрана: выбор ссылки для удаления.

Разрешения

Разрешения для функции ссылки для общего доступа настраиваются с помощью управления доступом (IAM). По умолчанию пользователи в вашей организации будут иметь доступ только на чтение общих ссылок. Если у пользователя есть доступ на чтение, он сможет только использовать и просматривать общие ссылки, но не сможет создать или удалить общую ссылку.

Чтобы предоставить пользователю разрешения на создание или удаление общей ссылки, выполните следующие действия.

  1. В портал Azure перейдите к узлу Бастиона.

  2. Перейдите на страницу Управление доступом (IAM).

  3. В разделе Microsoft.Network/bastionHosts настройте следующие разрешения:

    • Другое. Создает URL-адреса для виртуальных машин в бастионе и возвращает URL-адреса.
    • Другое. Удаляет URL-адреса для предоставленных виртуальных машин в бастионе.
    • Другое. Удаляет URL-адреса, доступные для общего доступа, для предоставленных маркеров в бастионе.

    Они соответствуют следующим командлетам PowerShell:

    • Microsoft.Network/bastionHosts/createShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinksByToken/action
    • Microsoft.Network/bastionHosts/getShareableLinks/action — если этот параметр не включен, пользователь не сможет увидеть ссылку для общего доступа.

Дальнейшие действия