Anslut till en virtuell dator med Bastion och den inbyggda Windows-klienten
Den här artikeln hjälper dig att ansluta till en virtuell dator i det virtuella nätverket med hjälp av den interna klienten (SSH eller RDP) på din lokala Windows-dator. Med den interna klientfunktionen kan du ansluta till dina virtuella måldatorer via Bastion med hjälp av Azure CLI och utökar dina inloggningsalternativ till att omfatta lokalt SSH-nyckelpar och Microsoft Entra-ID. Mer information och steg för att konfigurera Bastion för interna klientanslutningar finns i Konfigurera Bastion för interna klientanslutningar. Anslut ions via intern klient kräver Bastion Standard SKU eller högre.
När du har konfigurerat Bastion för internt klientstöd kan du ansluta till en virtuell dator med en inbyggd Windows-klient. Vilken metod du använder för att ansluta beror på både klienten du ansluter från och den virtuella dator som du ansluter till. I följande lista visas några av de tillgängliga sätten att ansluta från en inbyggd Windows-klient. Se Anslut till virtuella datorer för den fullständiga listan som visar tillgängliga kombinationer av klientanslutningar/funktioner.
- Anslut till en virtuell Windows-dator med az network bastion rdp.
- Anslut till en virtuell Linux-dator med az network bastion ssh.
- Anslut till en virtuell dator med az network bastion tunnel.
- Ladda upp och ladda ned filer via RDP.
- Ladda upp filer via SSH med az network bastion tunnel.
Förutsättningar
Innan du börjar kontrollerar du att du har följande förutsättningar:
- Den senaste versionen av CLI-kommandona (version 2.32 eller senare) installeras. Du kan uppdatera CLI för Bastion med .
az extension update --name bastion
Information om att installera CLI-kommandona finns i Installera Azure CLI och Kom igång med Azure CLI. - Azure Bastion har redan distribuerats och konfigurerats för ditt virtuella nätverk. Anvisningar finns i Konfigurera Bastion för interna klientanslutningar.
- En virtuell dator i det virtuella nätverket.
- Den virtuella datorns resurs-ID. Resurs-ID:t kan enkelt hittas i Azure-portalen. Gå till sidan Översikt för den virtuella datorn och välj länken JSON-vy för att öppna resurs-JSON. Kopiera resurs-ID:t överst på sidan till Urklipp som ska användas senare när du ansluter till den virtuella datorn.
- Om du planerar att logga in på den virtuella datorn med dina Microsoft Entra-autentiseringsuppgifter kontrollerar du att den virtuella datorn har konfigurerats med någon av följande metoder:
- Aktivera Microsoft Entra-inloggning för en virtuell Windows-dator eller en virtuell Linux-dator.
- Konfigurera din virtuella Windows-dator så att den är Microsoft Entra-ansluten.
- Konfigurera din virtuella Windows-dator så att den är Microsoft Entra-hybridanslutning.
Verifiera roller och portar
Kontrollera att följande roller och portar har konfigurerats för att ansluta till den virtuella datorn.
Roller som krävs
Läsarroll på den virtuella datorn.
Läsarroll på nätverkskortet med den virtuella datorns privata IP-adress.
Läsarroll på Azure Bastion-resursen.
Inloggningsroll för virtuell datoradministratör eller inloggningsroll för virtuell dator om du använder inloggningsmetoden Microsoft Entra. Du behöver bara göra detta om du aktiverar Microsoft Entra-inloggning med hjälp av processerna som beskrivs i någon av dessa artiklar:
Hamnar
Om du vill ansluta till en virtuell Linux-dator med inbyggt klientstöd måste du ha följande portar öppna på den virtuella Linux-datorn:
- Inkommande port: SSH (22) eller
- Inkommande port: Anpassat värde (du måste sedan ange den här anpassade porten när du ansluter till den virtuella datorn via Azure Bastion)
Om du vill ansluta till en virtuell Windows-dator med inbyggt klientstöd måste du ha följande portar öppna på den virtuella Windows-datorn:
- Inkommande port: RDP (3389) eller
- Inkommande port: Anpassat värde (du måste sedan ange den här anpassade porten när du ansluter till den virtuella datorn via Azure Bastion)
Mer information om hur du konfigurerar NSG:er med Azure Bastion finns i Arbeta med NSG-åtkomst och Azure Bastion.
Anslut till en virtuell dator
Stegen i följande avsnitt hjälper dig att ansluta till en virtuell dator från en inbyggd Windows-klient med kommandot az network bastion .
RDP till en virtuell Windows-dator
När en användare ansluter till en virtuell Windows-dator via RDP måste de ha behörighet på den virtuella måldatorn. Om användaren inte är en lokal administratör lägger du till användaren i gruppen Fjärrskrivbordsanvändare på den virtuella måldatorn.
Logga in på ditt Azure-konto med .
az login
Om du har fler än en prenumeration kan du visa dem med ochaz account list
välja den prenumeration som innehåller din Bastion-resurs med hjälp avaz account set --subscription "<subscription ID>"
.Använd följande exempel för att ansluta via RDP.
az network bastion rdp --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId>"
När du har kört kommandot uppmanas du att ange dina autentiseringsuppgifter. Du kan använda antingen ett lokalt användarnamn och lösenord eller dina Microsoft Entra-autentiseringsuppgifter. När du har loggat in på den virtuella måldatorn öppnas den interna klienten på datorn med vm-sessionen via MSTSC.
Viktigt!
Fjärranslutning till virtuella datorer som är anslutna till Microsoft Entra-ID tillåts endast från Windows 10 eller senare datorer som är Microsoft Entra-registrerade (från och med Windows 10 20H1), Microsoft Entra-anslutna eller Microsoft Entra-hybridanslutna till samma katalog som den virtuella datorn.
Ange autentiseringsmetod
Du kan också ange autentiseringsmetoden som en del av kommandot.
- Microsoft Entra-autentisering: För Windows 10 version 20H2+, Windows 11 21H2+ och Windows Server 2022 använder du
--enable-mfa
. Mer information finns i az network bastion rdp – valfria parametrar.
Ange en anpassad port
Du kan ange en anpassad port när du ansluter till en virtuell Windows-dator via RDP.
Ett scenario där detta kan vara särskilt användbart är att ansluta till en virtuell Windows-dator via port 22. Det här är en möjlig lösning på begränsningen med kommandot az network bastion ssh , som inte kan användas av en inbyggd Windows-klient för att ansluta till en virtuell Windows-dator.
Om du vill ange en anpassad port tar du med fältet --resource-port i inloggningskommandot, som du ser i följande exempel.
az network bastion rdp --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId>" --resource-port "22"
RDP till en IP-adress för virtuell Windows-dator
Du kan också ansluta till en privat IP-adress för virtuella datorer i stället för resurs-ID:t. Microsoft Entra-autentisering och anpassade portar och protokoll stöds inte när du använder den här typen av anslutning. Mer information om IP-baserade anslutningar finns i Anslut till en virtuell dator – IP-adress.
az network bastion
Använd kommandot och ersätt --target-resource-id
med --target-ip-address
och den angivna IP-adressen för att ansluta till den virtuella datorn.
az network bastion rdp --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>"
SSH till en virtuell Linux-dator
Logga in på ditt Azure-konto med .
az login
Om du har fler än en prenumeration kan du visa dem med ochaz account list
välja den prenumeration som innehåller din Bastion-resurs med hjälp avaz account set --subscription "<subscription ID>"
.Logga in på din virtuella Linux-måldator med något av följande exempelalternativ. Om du vill ange ett anpassat portvärde inkluderar du fältet --resource-port i inloggningskommandot.
Microsoft Entra-ID:
Om du loggar in på en Microsoft Entra-inloggningsaktiverad virtuell dator använder du följande kommando. Mer information finns i Virtuella Azure Linux-datorer och Microsoft Entra-ID.
az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId or VMSSInstanceResourceId>" --auth-type "AAD"
SSH-nyckelpar:
Tillägget kan installeras genom att köra,
az extension add --name ssh
. Om du vill logga in med ett SSH-nyckelpar använder du följande exempel.az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId or VMSSInstanceResourceId>" --auth-type "ssh-key" --username "<Username>" --ssh-key "<Filepath>"
Användarnamn/lösenord:
Om du loggar in med ett lokalt användarnamn och lösenord använder du följande kommando. Du uppmanas sedan att ange lösenordet för den virtuella måldatorn.
az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId or VMSSInstanceResourceId>" --auth-type "password" --username "<Username>"
När du loggar in på den virtuella måldatorn öppnas den interna klienten på datorn med vm-sessionen med hjälp av SSH CLI-tillägget (az ssh).
SSH till en VIRTUELL Linux-dators IP-adress
Du kan också ansluta till en privat IP-adress för virtuella datorer i stället för resurs-ID:t. Microsoft Entra-autentisering och anpassade portar och protokoll stöds inte när du använder den här typen av anslutning. Mer information om IP-baserade anslutningar finns i Anslut till en virtuell dator – IP-adress.
az network bastion
Använd kommandot och ersätt --target-resource-id
med --target-ip-address
och den angivna IP-adressen för att ansluta till den virtuella datorn.
az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>" --auth-type "ssh-key" --username "<Username>" --ssh-key "<Filepath>"
Anslut till en virtuell dator – tunnelkommando
Kommandot az network bastion tunnel är ett annat sätt att ansluta till dina virtuella datorer. När du använder det här kommandot kan du göra följande:
- Anslut från interna klienter på lokala datorer som inte är Windows-datorer. (Till exempel en Linux-dator.)
- Anslut till en virtuell dator med SSH eller RDP. (Skyddstunneln vidarebefordrar inte webbservrar eller värdar.)
- Använd valfri intern klient.
- Ladda upp filer till den virtuella måldatorn från den lokala datorn. Filhämtning från den virtuella måldatorn till den lokala klienten stöds för närvarande inte för det här kommandot.
Begränsningar:
- Inloggning med en privat SSH-nyckel som lagras i Azure Key Vault stöds inte med den här funktionen. Innan du loggar in på din virtuella Linux-dator med hjälp av ett SSH-nyckelpar laddar du ned din privata nyckel till en fil på den lokala datorn.
- Den här funktionen stöds inte i Cloud Shell.
Steg:
Logga in på ditt Azure-konto med .
az login
Om du har fler än en prenumeration kan du visa dem med ochaz account list
välja den prenumeration som innehåller din Bastion-resurs med hjälp avaz account set --subscription "<subscription ID>"
.Öppna tunneln till den virtuella måldatorn.
az network bastion tunnel --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId or VMSSInstanceResourceId>" --resource-port "<TargetVMPort>" --port "<LocalMachinePort>"
Anslut till den virtuella måldatorn med hjälp av SSH eller RDP, valfri intern klient och den lokala datorport som du angav i föregående steg.
Du kan till exempel använda följande kommando om du har OpenSSH-klienten installerad på den lokala datorn:
ssh <username>@127.0.0.1 -p <LocalMachinePort>
Tunnel till en VM-IP-adress
Du kan också ansluta till en privat IP-adress för virtuella datorer i stället för resurs-ID:t. Microsoft Entra-autentisering och anpassade portar och protokoll stöds inte när du använder den här typen av anslutning. Mer information om IP-baserade anslutningar finns i Anslut till en virtuell dator – IP-adress.
az network bastion tunnel
Använd kommandot och ersätt --target-resource-id
med --target-ip-address
och den angivna IP-adressen för att ansluta till den virtuella datorn.
az network bastion tunnel --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>" --resource-port "<TargetVMPort>" --port "<LocalMachinePort>"
Tunnel med flera anslutningar
Lägg till följande i din $HOME.ssh\config.
Host tunneltunnel HostName 127.0.0.1 Port 2222 User mylogin StrictHostKeyChecking=No UserKnownHostsFile=\\.\NUL
Lägg till tunnelanslutningen till din etablerade tunnelanslutning.
az network bastion tunnel --name mybastion --resource-group myrg --target-resource-id /subscriptions/<mysubscription>/resourceGroups/myrg/providers/Microsoft.Compute/virtualMachines/myvm --resource-port 22 --port 22
Skapa en ssh-tunnel i skyddstunneln.
ssh -L 2222:127.0.0.1:22 mylogin@127.0.0.1
Använd VS Code för att ansluta till tunnelanslutningen.