Distribuera Bastion med Azure PowerShell
Den här artikeln visar hur du distribuerar Azure Bastion med hjälp av PowerShell. Azure Bastion är en PaaS-tjänst som underhålls åt dig, inte en skyddsvärd som du installerar på den virtuella datorn och underhåller dig själv. En Azure Bastion-distribution är per virtuellt nätverk, inte per prenumeration/konto eller virtuell dator. Mer information om Azure Bastion finns i Vad är Azure Bastion?
När du har distribuerat Bastion till ditt virtuella nätverk kan du ansluta till dina virtuella datorer via en privat IP-adress. Den här sömlösa RDP/SSH-upplevelsen är tillgänglig för alla virtuella datorer i samma virtuella nätverk. Om den virtuella datorn har en offentlig IP-adress som du inte behöver för något annat kan du ta bort den.
I den här artikeln skapar du ett virtuellt nätverk (om du inte redan har ett), distribuerar Azure Bastion med PowerShell och ansluter till en virtuell dator. Exemplen visar Bastion distribuerad med standard-SKU-nivån, men du kan använda en annan Bastion SKU, beroende på vilka funktioner du vill använda. Mer information finns i Bastion-SKU:er.
Du kan också distribuera Bastion med hjälp av följande andra metoder:
Kommentar
Användning av Azure Bastion med Azure Privat DNS-zoner stöds. Det finns dock begränsningar. Mer information finns i Vanliga frågor och svar om Azure Bastion.
Innan du börjar
Kontrollera att du har en Azure-prenumeration. Om du inte har någon Azure-prenumeration kan du aktivera dina MSDN-prenumerantförmåner eller registrera dig för ett kostnadsfritt konto.
PowerShell
Den här artikeln använder PowerShell-cmdletar. Om du vill köra cmdletarna kan du använda Azure Cloud Shell. Cloud Shell är ett kostnadsfritt interaktivt gränssnitt som du kan använda för att köra stegen i den här artikeln. Den har vanliga Azure-verktyg förinstallerat och har konfigurerats för användning med ditt konto.
Öppna Cloud Shell genom att välja Öppna Cloudshell i det övre högra hörnet i ett kodblock. Du kan också öppna Cloud Shell på en separat webbläsarflik genom att gå till https://shell.azure.com/powershell. Välj Kopiera för att kopiera kodblocken, klistra in dem i Cloud Shell och välj returnyckeln för att köra dem.
Du kan också installera och köra Azure PowerShell-cmdletarna lokalt på datorn. PowerShell-cmdletar uppdateras ofta. Om du inte har installerat den senaste versionen kan de värden som anges i anvisningarna misslyckas. Om du vill hitta versionerna av Azure PowerShell installerade på datorn använder du cmdleten Get-Module -ListAvailable Az . Information om hur du installerar eller uppdaterar finns i Installera Azure PowerShell-modulen.
Exempelvärden
Du kan använda följande exempelvärden när du skapar den här konfigurationen, eller så kan du ersätta dina egna.
Exempel på VNet- och VM-värden:
| Namn | Värde |
|---|---|
| Virtuell maskin | TestVM |
| Resursgrupp | TestRG1 |
| Region | USA, östra |
| Virtuellt nätverk | VNet1 |
| Adressutrymme | 10.1.0.0/16 |
| Undernät | FrontEnd: 10.1.0.0/24 |
Azure Bastion-värden:
| Namn | Värde |
|---|---|
| Name | VNet1-bastion |
| Namn på undernät | FrontEnd |
| Namn på undernät | AzureBastionSubnet |
| AzureBastionSubnet-adresser | Ett undernät i det virtuella nätverkets adressutrymme med en nätmask /26 eller större. Till exempel 10.1.1.0/26. |
| Nivå/SKU | Standard |
| Offentlig IP-adress | Skapa nya , och programformulär i |
| Namn på offentlig IP-adress | VNet1-ip |
| SKU för offentlig IP-adress | Standard |
| Tilldelning | Statisk |
Distribuera Bastion
Det här avsnittet hjälper dig att skapa ett virtuellt nätverk, undernät och distribuera Azure Bastion med hjälp av Azure PowerShell.
Viktigt!
Priserna per timme börjar från det ögonblick då Bastion distribueras, oavsett utgående dataanvändning. Mer information finns i Priser och SKU:er. Om du distribuerar Bastion som en del av en självstudie eller ett test rekommenderar vi att du tar bort den här resursen när du har använt den.
Skapa en resursgrupp, ett virtuellt nätverk och ett klientdelsundernät som du distribuerar de virtuella datorer som du ska ansluta till via Bastion. Om du kör PowerShell lokalt öppnar du PowerShell-konsolen med utökade privilegier och ansluter till Azure med kommandot
Connect-AzAccount.New-AzResourceGroup -Name TestRG1 -Location EastUS ` $frontendSubnet = New-AzVirtualNetworkSubnetConfig -Name FrontEnd ` -AddressPrefix "10.1.0.0/24" ` $virtualNetwork = New-AzVirtualNetwork ` -Name TestVNet1 -ResourceGroupName TestRG1 ` -Location EastUS -AddressPrefix "10.1.0.0/16" ` -Subnet $frontendSubnet ` $virtualNetwork | Set-AzVirtualNetworkKonfigurera och ange Azure Bastion-undernätet för ditt virtuella nätverk. Det här undernätet är endast reserverat för Azure Bastion-resurser. Du måste skapa det här undernätet med hjälp av namnvärdet AzureBastionSubnet. Det här värdet låter Azure veta vilket undernät som Bastion-resurserna ska distribueras till. Exemplet i följande avsnitt hjälper dig att lägga till ett Azure Bastion-undernät i ett befintligt virtuellt nätverk.
- Den minsta storleken på undernätet AzureBastionSubnet som du kan skapa är /26. Vi rekommenderar att du skapar en /26 eller större storlek för värdskalning.
- Mer information om skalning finns i Konfigurationsinställningar – Värdskalning.
- Mer information om inställningar finns i Konfigurationsinställningar – AzureBastionSubnet.
- Skapa AzureBastionSubnet utan routningstabeller eller delegeringar.
- Om du använder nätverkssäkerhetsgrupper i AzureBastionSubnet läser du artikeln Arbeta med NSG:er .
Ange variabeln.
$vnet = Get-AzVirtualNetwork -Name "TestVNet1" -ResourceGroupName "TestRG1"Lägg till undernätet.
Add-AzVirtualNetworkSubnetConfig ` -Name "AzureBastionSubnet" -VirtualNetwork $vnet ` -AddressPrefix "10.1.1.0/26" | Set-AzVirtualNetwork- Den minsta storleken på undernätet AzureBastionSubnet som du kan skapa är /26. Vi rekommenderar att du skapar en /26 eller större storlek för värdskalning.
Skapa en offentlig IP-adress för Azure Bastion. Den offentliga IP-adressen är den offentliga IP-adressen för Bastion-resursen där RDP/SSH kommer att nås (via port 443). Den offentliga IP-adressen måste finnas i samma region som den Bastion-resurs som du skapar.
$publicip = New-AzPublicIpAddress -ResourceGroupName "TestRG1" ` -name "VNet1-ip" -location "EastUS" ` -AllocationMethod Static -Sku StandardSkapa en ny Azure Bastion-resurs i AzureBastionSubnet med kommandot New-AzBastion . I följande exempel används basic-SKU:n. Du kan dock även distribuera Bastion med en annan SKU genom att ändra värdet -Sku. Den SKU som du väljer avgör Bastion-funktionerna och ansluter till virtuella datorer med fler anslutningstyper. Mer information finns i Bastion-SKU:er.
New-AzBastion -ResourceGroupName "TestRG1" -Name "VNet1-bastion" ` -PublicIpAddressRgName "TestRG1" -PublicIpAddressName "VNet1-ip" ` -VirtualNetworkRgName "TestRG1" -VirtualNetworkName "TestVNet1" ` -Sku "Basic"Det tar cirka 10 minuter för Bastion-resurserna att distribueras. Du kan skapa en virtuell dator i nästa avsnitt medan Bastion distribueras till ditt virtuella nätverk.
Skapa en virtuell dator
Du kan skapa en virtuell dator med hjälp av snabbstarten : Skapa en virtuell dator med Hjälp av PowerShell eller Snabbstart: Skapa en virtuell dator med hjälp av portalartiklarna . Se till att du distribuerar den virtuella datorn till samma virtuella nätverk som du distribuerade Bastion till. Den virtuella dator som du skapar i det här avsnittet är inte en del av Bastion-konfigurationen och blir inte en skyddsvärd. Du ansluter till den här virtuella datorn senare i den här självstudien via Bastion.
Följande obligatoriska roller för dina resurser.
Nödvändiga VM-roller:
- Läsarroll på den virtuella datorn.
- Läsarroll på nätverkskortet med den virtuella datorns privata IP-adress.
Obligatoriska inkommande portar:
- För virtuella Windows-datorer – RDP (3389)
- För virtuella Linux-datorer – SSH (22)
Anslut till en virtuell dator
Du kan använda anslutningsstegen i följande avsnitt för att ansluta till den virtuella datorn. Du kan också använda någon av följande artiklar för att ansluta till en virtuell dator. Vissa anslutningstyper kräver Bastion Standard SKU.
- Ansluta till en virtuell Windows-dator
- Ansluta till en virtuell Linux-dator
- Ansluta till en skalningsuppsättning
- Ansluta via IP-adress
- Ansluta från en intern klient
Anslutningssteg
I Azure Portal går du till den virtuella dator som du vill ansluta till.
Längst upp i fönstret väljer du Anslut>Bastion för att gå till Bastion-fönstret. Du kan också gå till Bastion-fönstret med hjälp av den vänstra menyn.
Vilka alternativ som är tillgängliga i Bastion-fönstret beror på Bastion SKU. Om du använder Basic SKU ansluter du till en Windows-dator med hjälp av RDP och port 3389. Även för Basic SKU ansluter du till en Linux-dator med hjälp av SSH och port 22. Du har inte alternativ för att ändra portnumret eller protokollet. Du kan dock ändra tangentbordsspråket för RDP genom att expandera Anslutningsinställningar.
Om du använder standard-SKU:n har du fler tillgängliga alternativ för anslutningsprotokoll och portar. Expandera Anslutningsinställningar för att se alternativen. Om du inte konfigurerar olika inställningar för den virtuella datorn ansluter du vanligtvis till en Windows-dator med hjälp av RDP och port 3389. Du ansluter till en Linux-dator med hjälp av SSH och port 22.
För Autentiseringstyp väljer du i listrutan. Protokollet avgör vilka autentiseringstyper som är tillgängliga. Slutför de nödvändiga autentiseringsvärdena.
Om du vill öppna den virtuella datorsessionen på en ny webbläsarflik lämnar du Fliken Öppna i ny webbläsare markerad.
Välj Anslut för att ansluta till den virtuella datorn.
Bekräfta att anslutningen till den virtuella datorn öppnas direkt i Azure Portal (via HTML5) med hjälp av port 443 och Bastion-tjänsten.
Kommentar
När du ansluter ser skrivbordet på den virtuella datorn annorlunda ut än skärmbilden i exemplet.
Om du använder kortkommandon när du är ansluten till en virtuell dator kanske det inte leder till samma beteende som genvägsnycklar på en lokal dator. När du till exempel är ansluten till en virtuell Windows-dator från en Windows-klient är Ctrl+Alt+End kortkommandot för Ctrl+Alt+Ta bort på en lokal dator. Om du vill göra detta från en Mac när du är ansluten till en virtuell Windows-dator är kortkommandot fn+control+option+delete.
Så här aktiverar du ljudutdata
Du kan aktivera fjärrljudutdata för den virtuella datorn. Vissa virtuella datorer aktiverar automatiskt den här inställningen, medan andra kräver att du aktiverar ljudinställningar manuellt. Inställningarna ändras på själva den virtuella datorn. Bastion-distributionen behöver inga särskilda konfigurationsinställningar för att aktivera fjärrljudutdata.
Kommentar
Ljudutdata använder bandbredd på din Internetanslutning.
Så här aktiverar du fjärrljudutdata på en virtuell Windows-dator:
- När du är ansluten till den virtuella datorn visas en ljudknapp i det nedre högra hörnet i verktygsfältet. Högerklicka på ljudknappen och välj sedan Ljud.
- Ett popup-meddelande frågar om du vill aktivera Windows Audio Service. Välj Ja. Du kan konfigurera fler ljudalternativ i Ljudinställningar.
- Om du vill verifiera ljudutdata hovra över ljudknappen i verktygsfältet.
Ta bort offentlig IP-adress för virtuell dator
Azure Bastion använder inte den offentliga IP-adressen för att ansluta till den virtuella klientdatorn. Om du inte behöver den offentliga IP-adressen för den virtuella datorn kan du koppla från den offentliga IP-adressen. Se Koppla bort en offentlig IP-adress från en virtuell Azure-dator.
Nästa steg
- Information om hur du använder nätverkssäkerhetsgrupper med Azure Bastion-undernätet finns i Arbeta med NSG:er.
- Information om VNet-peering finns i Peering för virtuella nätverk och Azure Bastion.