Руководство по развертыванию Бастиона Azure с помощью указанных параметров

  • Статья

В этом руководстве показано, как развернуть бастион Azure из портал Azure с помощью собственных параметров вручную и номера SKU (уровня продуктов), указанных вами. Номер SKU определяет функции и подключения, доступные для развертывания. Дополнительные сведения об номерах SKU см. в разделе "Параметры конфигурации" — номера SKU.

В портал Azure при использовании параметра "Настройка вручную" для развертывания Бастиона можно указать такие значения конфигурации, как количество экземпляров и номера SKU во время развертывания. После развертывания бастиона можно использовать SSH или RDP для подключения к виртуальным машинам (виртуальным машинам) в виртуальной сети с помощью бастиона с помощью частных IP-адресов виртуальных машин. При подключении к виртуальной машине не требуется общедоступный IP-адрес, клиентское программное обеспечение, агент или специальная конфигурация.

На следующей схеме показана архитектура Бастиона.

Схема, демонстрирующая архитектуру Бастиона Azure.

В этом руководстве описано, как развернуть бастион с помощью номера SKU уровня "Стандартный". Вы настраиваете масштабирование узлов (число экземпляров), которое поддерживает номер SKU уровня "Стандартный". Если для развертывания используется более низкий номер SKU, вы не можете настроить масштабирование узлов. Вы также можете выбрать зону доступности в зависимости от региона, в котором требуется развернуть.

После завершения развертывания вы подключитесь к виртуальной машине, используя частный IP-адрес. Если общедоступный IP-адрес на виртуальной машине не требуется для других целей, его можно удалить.

В этом руководстве описано следующее:

  • Разверните бастион в виртуальной сети.
  • Подключение к виртуальной машине.
  • Удаление общедоступного IP-адреса из виртуальной машины.

Необходимые компоненты

Чтобы завершить работу с этим руководством, вам потребуются следующие ресурсы:

  • Подписка Azure. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начать работу.

  • Виртуальная сеть , в которой будет развернут бастион.

  • Виртуальная машина в виртуальной сети. Эта виртуальная машина не является частью конфигурации Бастиона и не становится узлом-бастионом. Подключение к этой виртуальной машине через Бастион описано далее в этом руководстве. Если у вас нет виртуальной машины, создайте ее с помощью краткого руководства. Создание виртуальной машины Windows или краткого руководства. Создание виртуальной машины Linux.

  • Требуемые роли на виртуальной машине:

    • роль читателя на виртуальной машине;
    • Роль чтения в сетевом адаптере (сетевом адаптере) с частным IP-адресом виртуальной машины

  • Требуемые входящие порты:

    • Для виртуальных машин Windows: RDP (3389)
    • Для виртуальных машин Linux: SSH (22)

Примечание.

Использование Бастиона Azure с зонами Azure Частная зона DNS поддерживается. Однако существуют ограничения. Дополнительные сведения см. в часто задаваемых вопросы о Бастионе Azure.

Пример значений

При создании этой конфигурации вы можете применить приведенные ниже примеры значений или заменить их собственными.

Базовые значения виртуальной сети и виртуальной машины

Имя. Значение
Виртуальная машина TestVM
Группа ресурсов TestRG1
Регион Восточная часть США
Виртуальная сеть Виртуальная сеть1
Адресное пространство 10.1.0.0/16.
Подсети FrontEnd: 10.1.0.0/24

Значения бастиона

Имя. Значение
Имя VNet1-бастион
+ Имя подсети AzureBastionSubnet
Адреса AzureBastionSubnet Подсеть в адресном пространстве виртуальной сети с маской подсети /26 или более поздней; например, 10.1.1.0/26
Зона доступности При желании выберите значения из раскрывающегося списка.
Уровень или номер SKU Стандартные
Число экземпляров (масштабирование узла) 3 или больше
Общедоступный IP-адрес Создать
Имя общедоступного IP-адреса VNet1-ip
Номер SKU общедоступного IP-адреса Стандартные
Передача прав и обязанностей статически.

Развертывание Бастиона

Этот раздел поможет развернуть Бастион в виртуальной сети. После развертывания Бастиона можно безопасно подключиться к любой виртуальной машине в виртуальной сети с помощью частного IP-адреса.

Внимание

Почасовая цена начинается с момента развертывания Бастиона независимо от использования исходящих данных. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.

  1. Войдите на портал Azure.

  2. Перейдите к виртуальной сети.

  3. На странице виртуальной сети на левой панели выберите Бастион.

  4. На панели бастиона разверните выделенные параметры развертывания.

  5. Выберите "Настроить вручную". Этот параметр позволяет настроить определенные дополнительные параметры (например, номер SKU) при развертывании Бастиона в виртуальной сети.

    Снимок экрана: выделенные параметры развертывания для Бастиона Azure и кнопка для настройки вручную.

  6. На панели "Создание бастиона" настройте параметры для узла бастиона. Сведения о проекте будут заполнены на основе значений для виртуальной сети. В разделе "Сведения об экземпляре" настройте следующие значения:

    • Имя: имя, которое вы хотите использовать для ресурса Бастиона.

    • Регион. Общедоступный регион Azure, в котором будет создан ресурс. Выберите регион, в котором находится виртуальная сеть.

    • Зона доступности: выберите зоны из раскрывающегося списка, если это необходимо. Поддерживаются только определенные регионы. Дополнительные сведения см. в статье "Что такое зоны доступности?" .

    • Уровень: номер SKU. Для работы с этим руководством выберите уровень Стандартный. Сведения о функциях, доступных для каждого номера SKU, см. в разделе "Параметры конфигурации " SKU".

    • Число экземпляров: параметр масштабирования узла, который доступен для номера SKU уровня "Стандартный". Вы настраиваете масштабирование узлов в единицах масштабирования. Используйте ползунок или введите число, чтобы настроить нужное число экземпляров. Дополнительные сведения см. в разделе "Экземпляры" и "Масштабирование узлов" и цены на бастион Azure.

    Снимок экрана: сведения о экземпляре Бастиона Azure.

  7. Настройте параметры виртуальных сетей. Выберите виртуальную сеть из раскрывающегося списка. Если виртуальная сеть отсутствует в раскрывающемся списке, убедитесь, что выбрано правильное значение региона на предыдущем шаге.

  8. Чтобы настроить AzureBastionSubnet, выберите "Управление конфигурацией подсети".

    Снимок экрана: раздел для настройки виртуальных сетей.

  9. В области подсетей выберите +Подсеть.

  10. На панели "Добавление подсети" создайте подсеть AzureBastionSubnet с помощью следующих значений. Не изменяйте остальные значения по умолчанию.

    • Именем подсети должно быть AzureBastionSubnet.
    • Подсеть должна быть /26 или больше (например, /26, /25 или /24) для размещения функций, доступных с номером SKU уровня "Стандартный".

    Нажмите кнопку "Сохранить " в нижней части области, чтобы сохранить значения.

  11. В верхней части области подсетей выберите "Создать бастион ", чтобы вернуться в область конфигурации Бастиона.

    Снимок экрана: панель, в которую перечислены подсети Бастиона Azure.

  12. В разделе "Общедоступный IP-адрес" вы настраиваете общедоступный IP-адрес ресурса узла бастиона, к которому будет доступ RDP/SSH (через порт 443). Общедоступный IP-адрес должен находиться в том же регионе, что и создаваемый ресурс Бастиона.

    Создайте новый IP-адрес. Вы можете оставить имя, предложенное по умолчанию.

  13. Завершив настройку параметров, выберите Просмотреть и создать. Этот шаг проверяет значения.

  14. После прохождения проверки значений можно развернуть Бастион. Нажмите кнопку создания.

    В сообщении говорится, что развертывание выполняется. Состояние отображается на этой странице при создании ресурсов. Для создания и развертывания ресурса Бастиона потребуется около 10 минут.

Подключение к виртуальной машине

Для подключения к виртуальной машине вы можете использовать любое из приведенных ниже подробных руководств. Для некоторых типов подключений требуется Бастион с номером SKU "Стандартный".

Для подключения к виртуальной машине можно также использовать следующие основные шаги подключения:

  1. На портале Azure перейдите к виртуальной машине, к которой необходимо подключиться.

  2. В верхней части области выберите Подключение> Bastion, чтобы перейти к области Бастиона. Вы также можете перейти в область Бастиона с помощью меню слева.

  3. Параметры, доступные на панели Бастиона, зависят от номера SKU Бастиона . Если вы используете базовый номер SKU, подключитесь к компьютеру с Windows с помощью RDP и порта 3389. Кроме того, для номера SKU уровня "Базовый" подключитесь к компьютеру Linux с помощью SSH и порта 22. Вы не можете изменить номер порта или протокол. Однако вы можете изменить раскладку клавиатуры для RDP, развернув параметры подключения.

    Снимок экрана: параметры подключения Бастиона Azure.

    Если вы используете номер SKU "Стандартный", доступны дополнительные параметры протокола подключения и порта. Разверните узел Параметры подключения, чтобы просмотреть варианты. Как правило, если для виртуальной машины не настроены разные параметры, подключение к компьютеру Windows с помощью RDP и порта 3389. Подключение к компьютеру Linux с помощью SSH и порта 22.

    Снимок экрана: развернутые параметры подключения.

  4. Для типа проверки подлинности выберите в раскрывающемся списке. Протокол определяет доступные типы проверки подлинности. Укажите необходимые значения проверки подлинности.

    Снимок экрана: раскрывающийся список для типа проверки подлинности.

  5. Чтобы открыть сеанс виртуальной машины на новой вкладке браузера, оставьте "Открыть" на новой вкладке браузера.

  6. Выберите Подключиться, чтобы подключиться к виртуальной машине.

  7. Убедитесь, что подключение к виртуальной машине открывается непосредственно в портал Azure (через HTML5) с помощью порта 443 и службы Бастиона.

    Снимок экрана: рабочий стол компьютера с открытым подключением через порт 443.

    Примечание.

    При подключении рабочий стол виртуальной машины будет выглядеть по-другому, чем на примере снимка экрана.

Использование сочетаний клавиш при подключении к виртуальной машине может привести к тому же поведению, что и сочетания клавиш на локальном компьютере. Например, при подключении к виртуальной машине Windows из клиента Windows сочетание клавиш CTRL+ALT+END — сочетание клавиш CTRL+ALT+DELETE на локальном компьютере. Для этого из Mac во время подключения к виртуальной машине Windows сочетание клавиш Fn+CTRL+ALT+Backspace.

Включение выходных данных звука

Вы можете включить удаленный аудиовыход для виртуальной машины. Некоторые виртуальные машины автоматически позволяют включить этот параметр, а другие — включить параметры звука вручную. Параметры можно изменить на самой виртуальной машине. В вашем развертывании Бастиона не нужно настраивать специальные параметры конфигурации для включения удаленного аудиовыхода.

Примечание.

Выходные данные звука используют пропускную способность для подключения к Интернету.

Чтобы включить удаленный аудиовыход на виртуальной машине Windows, сделайте следующее:

  1. После подключения к виртуальной машине на панели инструментов появится кнопка звука в правом нижнем углу панели инструментов. Щелкните правой кнопкой мыши звук и выберите "Звуки".
  2. Всплывающее сообщение запрашивает, нужно ли включить аудиослужбу Windows. Выберите Да. Дополнительные параметры звука можно настроить в параметрах звука.
  3. Чтобы проверить выходные данные звука, наведите указатель мыши на кнопку звука на панели инструментов.

Удаление общедоступного IP-адреса виртуальной машины

При подключении к виртуальной машине с помощью Бастиона Azure не требуется общедоступный IP-адрес для виртуальной машины. Если вы не используете общедоступный IP-адрес для других компонентов, вы можете отключить его от виртуальной машины:

  1. Перейдите к виртуальной машине и выберите Сети. Щелкните общедоступный IP-адрес сетевого адаптера.

    Снимок экрана: панель

  2. В области общедоступных IP-адресов сетевой интерфейс виртуальной машины указан в разделе "Связанные". Выберите "Отсообить" в верхней части области.

    Снимок экрана: сведения о общедоступном IP-адресе виртуальной машины.

  3. Выберите "Да ", чтобы разъединить IP-адрес из сетевого интерфейса виртуальной машины. После разъединения общедоступного IP-адреса из сетевого интерфейса убедитесь, что он больше не указан в разделе "Связанные".

  4. После отмены связи с IP-адресом можно удалить ресурс общедоступного IP-адреса. В области общедоступных IP-адресов виртуальной машины нажмите кнопку "Удалить".

    Снимок экрана: кнопка удаления ресурса общедоступного IP-адреса.

  5. Выберите "Да" , чтобы удалить общедоступный IP-адрес.

Очистка ресурсов

Завершив работу с этим приложением, удалите ресурсы:

  1. В поле Поиск в верхней части портала введите имя группы ресурсов. Когда группа ресурсов появится в результатах поиска, выберите ее.
  2. Выберите команду Удалить группу ресурсов.
  3. Введите имя группы ресурсов для ТИПА ИМЕНИ ГРУППЫ РЕСУРСОВ и нажмите кнопку "Удалить".

Следующие шаги

В этом руководстве вы развернули Бастион в виртуальной сети и подключились к виртуальной машине. Затем вы удалили общедоступный IP-адрес из виртуальной машины. Далее вы узнаете о дополнительных функциях Бастиона и настройте их.

Параметры конфигурации Бастиона Azure

Подключения и функции виртуальных машин

Настройка защиты от атак DDos Azure для виртуальной сети