Distribuera Bastion med Azure CLI

Den här artikeln visar hur du distribuerar Azure Bastion med HJÄLP av CLI. Azure Bastion är en PaaS-tjänst som underhålls åt dig, inte en skyddsvärd som du installerar på den virtuella datorn och underhåller dig själv. En Azure Bastion-distribution är per virtuellt nätverk, inte per prenumeration/konto eller virtuell dator. Mer information om Azure Bastion finns i Vad är Azure Bastion?

När du har distribuerat Bastion till ditt virtuella nätverk kan du ansluta till dina virtuella datorer via en privat IP-adress. Den här sömlösa RDP/SSH-upplevelsen är tillgänglig för alla virtuella datorer i samma virtuella nätverk. Om den virtuella datorn har en offentlig IP-adress som du inte behöver för något annat kan du ta bort den.

I den här artikeln skapar du ett virtuellt nätverk (om du inte redan har ett), distribuerar Azure Bastion med CLI och ansluter till en virtuell dator. Du kan också distribuera Bastion med hjälp av följande andra metoder:

• Azure Portal
• Azure PowerShell
• Snabbstart – distribuera med standardinställningar

Kommentar

Användning av Azure Bastion med Azure Privat DNS-zoner stöds. Det finns dock begränsningar. Mer information finns i Vanliga frågor och svar om Azure Bastion.

Innan du börjar

Azure-prenumeration

Kontrollera att du har en Azure-prenumeration. Om du inte har någon Azure-prenumeration kan du aktivera dina MSDN-prenumerantförmåner eller registrera dig för ett kostnadsfritt konto.

Azure CLI

Den här artikeln använder Azure CLI. Om du vill köra kommandon kan du använda Azure Cloud Shell. Azure Cloud Shell är ett interaktivt gränssnitt som du kan använda för att utföra stegen i den här artikeln. Den har vanliga Azure-verktyg förinstallerat och har konfigurerats för användning med ditt konto.

Om du vill öppna Cloud Shell väljer du bara Prova från det övre högra hörnet i ett kodblock. Du kan också starta Cloud Shell på en separat webbläsarflik genom att gå till https://shell.azure.com och växla listrutan i det vänstra hörnet för att återspegla Bash eller PowerShell. Kopiera kodblocket genom att välja Kopiera, klistra in det i Cloud Shell och kör det genom att trycka på RETUR.

Distribuera Bastion

Det här avsnittet hjälper dig att distribuera Azure Bastion med hjälp av Azure CLI.

Viktigt!

Priserna per timme börjar från det ögonblick då Bastion distribueras, oavsett utgående dataanvändning. Mer information finns i Priser och SKU:er. Om du distribuerar Bastion som en del av en självstudie eller ett test rekommenderar vi att du tar bort den här resursen när du har använt den.

1. Om du inte redan har ett virtuellt nätverk skapar du en resursgrupp och ett virtuellt nätverk med az group create och az network vnet create.

   az group create --name TestRG1 --location eastus
   

   az network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24
   

2. Använd az network vnet subnet create för att skapa det undernät som Bastion ska distribueras till. Det undernät som du skapar måste ha namnet AzureBastionSubnet. Det här undernätet är reserverat uteslutande för Azure Bastion-resurser. Om du inte har ett undernät med namngivningsvärdet AzureBastionSubnet distribueras inte Bastion.

   • Den minsta storleken på undernätet AzureBastionSubnet som du kan skapa är /26. Vi rekommenderar att du skapar en /26 eller större storlek för värdskalning.
     • Mer information om skalning finns i Konfigurationsinställningar – Värdskalning.
     • Mer information om inställningar finns i Konfigurationsinställningar – AzureBastionSubnet.
   • Skapa AzureBastionSubnet utan routningstabeller eller delegeringar.
   • Om du använder nätverkssäkerhetsgrupper i AzureBastionSubnet läser du artikeln Arbeta med NSG:er .

   az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26
   

3. Skapa en offentlig IP-adress för Azure Bastion. Den offentliga IP-adressen är den offentliga IP-adressen för Bastion-resursen där RDP/SSH kommer att nås (via port 443). Den offentliga IP-adressen måste finnas i samma region som den Bastion-resurs som du skapar. Var därför särskilt uppmärksam på det --location värde som du anger.

   az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastus
   

4. Använd az network bastion create för att skapa en ny Azure Bastion-resurs för ditt virtuella nätverk. Det tar cirka 10 minuter för Bastion-resursen att skapa och distribuera.

   I följande exempel distribueras Bastion med hjälp av basic-SKU-nivån . Du kan också distribuera med andra SKU:er. SKU:n avgör vilka funktioner din Bastion-distribution stöder. Om du inte anger en SKU i kommandot är SKU:n standardinställningen Standard. Mer information finns i Bastion-SKU:er.

   az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic
   

Anslut till en virtuell dator

Om du inte redan har virtuella datorer i ditt virtuella nätverk kan du skapa en virtuell dator med snabbstart : Skapa en virtuell Windows-dator eller snabbstart: Skapa en virtuell Linux-dator

Du kan använda någon av följande artiklar eller stegen i följande avsnitt för att ansluta till en virtuell dator. Vissa anslutningstyper kräver Bastion Standard SKU eller högre.

• Ansluta till en virtuell Windows-dator
  • RDP
  • SSH
• Ansluta till en virtuell Linux-dator
  • SSH
• Ansluta till en skalningsuppsättning
• Ansluta via IP-adress
• Ansluta från en intern klient
  • Windows-klient
  • Linux/SSH-klient

Ansluta med hjälp av portalen

Följande steg beskriver en typ av anslutning med hjälp av Azure Portal.

1. I Azure Portal går du till den virtuella dator som du vill ansluta till.

2. Längst upp i fönstret väljer du Anslut>Bastion för att gå till Bastion-fönstret. Du kan också gå till Bastion-fönstret med hjälp av den vänstra menyn.

3. Vilka alternativ som är tillgängliga i Bastion-fönstret beror på Bastion SKU. Om du använder Basic SKU ansluter du till en Windows-dator med hjälp av RDP och port 3389. Även för Basic SKU ansluter du till en Linux-dator med hjälp av SSH och port 22. Du har inte alternativ för att ändra portnumret eller protokollet. Du kan dock ändra tangentbordsspråket för RDP genom att expandera Anslutningsinställningar.

   

   Om du använder standard-SKU:n har du fler tillgängliga alternativ för anslutningsprotokoll och portar. Expandera Anslutningsinställningar för att se alternativen. Om du inte konfigurerar olika inställningar för den virtuella datorn ansluter du vanligtvis till en Windows-dator med hjälp av RDP och port 3389. Du ansluter till en Linux-dator med hjälp av SSH och port 22.

   

4. För Autentiseringstyp väljer du i listrutan. Protokollet avgör vilka autentiseringstyper som är tillgängliga. Slutför de nödvändiga autentiseringsvärdena.

   

5. Om du vill öppna den virtuella datorsessionen på en ny webbläsarflik lämnar du Fliken Öppna i ny webbläsare markerad.

6. Välj Anslut för att ansluta till den virtuella datorn.

7. Bekräfta att anslutningen till den virtuella datorn öppnas direkt i Azure Portal (via HTML5) med hjälp av port 443 och Bastion-tjänsten.

   

   Kommentar

   När du ansluter ser skrivbordet på den virtuella datorn annorlunda ut än skärmbilden i exemplet.

Om du använder kortkommandon när du är ansluten till en virtuell dator kanske det inte leder till samma beteende som genvägsnycklar på en lokal dator. När du till exempel är ansluten till en virtuell Windows-dator från en Windows-klient är Ctrl+Alt+End kortkommandot för Ctrl+Alt+Ta bort på en lokal dator. Om du vill göra detta från en Mac när du är ansluten till en virtuell Windows-dator är kortkommandot fn+control+option+delete.

Så här aktiverar du ljudutdata

Du kan aktivera fjärrljudutdata för den virtuella datorn. Vissa virtuella datorer aktiverar automatiskt den här inställningen, medan andra kräver att du aktiverar ljudinställningar manuellt. Inställningarna ändras på själva den virtuella datorn. Bastion-distributionen behöver inga särskilda konfigurationsinställningar för att aktivera fjärrljudutdata.

Kommentar

Ljudutdata använder bandbredd på din Internetanslutning.

Så här aktiverar du fjärrljudutdata på en virtuell Windows-dator:

1. När du är ansluten till den virtuella datorn visas en ljudknapp i det nedre högra hörnet i verktygsfältet. Högerklicka på ljudknappen och välj sedan Ljud.
2. Ett popup-meddelande frågar om du vill aktivera Windows Audio Service. Välj Ja. Du kan konfigurera fler ljudalternativ i Ljudinställningar.
3. Om du vill verifiera ljudutdata hovra över ljudknappen i verktygsfältet.

Ta bort offentlig IP-adress för virtuell dator

Azure Bastion använder inte den offentliga IP-adressen för att ansluta till den virtuella klientdatorn. Om du inte behöver den offentliga IP-adressen för den virtuella datorn kan du koppla från den offentliga IP-adressen. Se Koppla bort en offentlig IP-adress från en virtuell Azure-dator.

Nästa steg

• Information om hur du använder nätverkssäkerhetsgrupper med Azure Bastion-undernätet finns i Arbeta med NSG:er.
• Information om VNet-peering finns i VNet-peering och Azure Bastion.