Hur fungerar Azure Bastion?

  • 5 minuter

En Azure Bastion-distribution görs per virtuellt nätverk eller peer-kopplat virtuellt nätverk. Det är inte per prenumeration, konto eller virtuell dator. När du har etablerat en Azure Bastion-tjänst i det virtuella nätverket, är RDP- eller SSH-upplevelsen tillgänglig för alla virtuella datorer i samma virtuella nätverk.

Följande diagram visar en översikt över hur Azure Bastion fungerar när du ansluter via portalen:

  1. Du ansluter till en virtuell dator i Azure-portalen: I Azure-portalen går du till översiktssidan för den virtuella datorn och väljer Anslut> Bastion>Use Bastion och anger sedan dina autentiseringsuppgifter för den virtuella datorn.
  2. Webbläsaren ansluter till Azure Bastion-värden: Webbläsaren ansluter till Azure Bastion via Internet med hjälp av TLS (Transport Layer Security) och den offentliga IP-adressen för Azure Bastion-värden. Azure Gateway Manager hanterar portalanslutningar till Azure Bastion-tjänsten på port 443 eller 4443.
  3. Bastion ansluter till den virtuella datorn med RDP eller SSH: Azure Bastion distribueras i ett separat undernät med namnet AzureBastionSubnet i det virtuella nätverket. Du skapar undernätet när du distribuerar Azure Bastion. Undernätet kan ha adressutrymmen med en /26-nätmask eller större. Distribuera inte andra Azure-resurser till det här undernätet, och ändra inte namnet på undernätet.
  4. Bastion strömmar den virtuella datorn till webbläsaren: Azure Bastion använder en HTML5-baserad webbklient som automatiskt strömmas till din lokala enhet. Azure Bastion-tjänsten paketerar sessionsinformationen med hjälp av ett anpassat protokoll. Paketen överförs med TLS.

Kontrollera att Azure Bastion fungerar med din nätverkssäkerhetsgrupp

Om du inte har distribuerat och konfigurerat någon specifik nätverkssäkerhetsgrupp för din organisation behöver du inte göra något. Azure Bastion fungerar med den standardiserade nätverkssäkerhetsgrupp som skapas med virtuella datorer.

Om du har konfigurerat en nätverkssäkerhetsgrupp för din organisation, kontrollerar du att Azure Bastion kan ansluta till dina virtuella datorer via RDP eller SSH. Vi rekommenderar att du lägger till en regel för inkommande trafik som tillåter RDP- och SSH-anslutningar från IP-adressintervallet i Azure Bastion-undernätet till dina virtuella datorer.

För att Azure Bastion ska fungera måste nätverkssäkerhetsgruppen tillåta följande trafik:

Riktning Tillåt
Inkommande RDP- och SSH-anslutningar från IP-adressintervallet för Azure Bastion-undernätet till undernätet för den virtuella datorn.
Inkommande TCP-åtkomst från Internet på port 443 till den offentliga IP-adressen för Azure Bastion.
Inkommande TCP-åtkomst från Azure Gateway Manager på portarna 443 eller 4443. Azure Gateway Manager hanterar portalanslutningar till Azure Bastion-tjänsten.
Utgående TCP-åtkomst från Azure-plattformen på port 443. Den här trafiken används för diagnostisk loggning.

Distribuera en Azure Bastion-värd i Azure-portalen

Innan du kan distribuera Azure Bastion, behöver du ett virtuellt nätverk. Du kan använda ett befintligt virtuellt nätverk, eller distribuera Azure Bastion när du skapar ett virtuellt nätverk. Skapa ett undernät i det virtuella nätverket med namnet AzureBastionSubnet. Om du har en virtuell dator som finns på samma eller ett peer-kopplat virtuellt nätverk, slutför du distributionen i Azure-portalen genom att välja Azure Bastion när du ansluter till den virtuella datorn.

I följande två avsnitt visas de steg som ingår för vart och ett av distributionsalternativen för Azure Bastion i Azure-portalen. Du behöver inte slutföra något av de här stegen ännu. det gör du i nästa övning.

Aktivera Azure Bastion när du skapar ett virtuellt nätverk

Om du inte redan har ett virtuellt nätverk som du vill använda för Azure Bastion, skapar du ett virtuellt nätverk och aktiverar Azure Bastion på fliken Säkerhet.

Screenshot of the Security tab that allows you to enable and configure the Azure Bastion host in the workflow for creating a virtual network.

  1. Välj Aktivera och ange ett namn på din Azure Bastion-värd.
  2. Lägg till en undernätsadress med en nätmask på /26 eller större.
  3. Om du inte redan har en offentlig IP-adress som du vill använda väljer du Skapa ny.
  4. När du har skapat det virtuella nätverket lägger du till virtuella datorer i det här virtuella nätverket eller peerkopplar det virtuella nätverket till det virtuella nätverket med dina virtuella datorer.

Lägga till undernätet i ett befintligt virtuellt nätverk och etablera Azure Bastion-resurser

I det befintliga virtuella nätverket lägger du till ett undernät med namnet AzureBastionSubnet.

Screenshot of the page for adding a subnet, where the subnet name is AzureBastionSubnet.

Om du vill etablera Azure Bastion går du till portalen på den virtuella datorn och väljer Anslut> Bastion>Configure manuellt. Ange ett namn på Azure Bastion-resursen, välj undernätet, skapa en offentlig IP-adress och så vidare. När Azure Bastion har distribuerats, kan du ansluta till den virtuella datorn.

Screenshot of the Create a Bastion page with fields filled out by default, like Azure Bastion resource name, subnet, and create public IP address.

Distribuera Azure Bastion med Azure PowerShell eller Azure CLI

Om du vill använda Azure PowerShell eller Azure CLI för att distribuera Azure Bastion, kör du kommandon för att skapa följande resurser:

  • Undernät
  • Offentlig IP-adress
  • Azure Bastion-resurs

I följande avsnitt visas exempel som du kan använda för att distribuera Azure Bastion.

Använda Azure PowerShell för att distribuera Azure Bastion

  1. Skapa Azure Bastion-undernätet med hjälp av cmdleten New-AzVirtualNetworkSubnetConfigoch lägg sedan till undernätet i ditt befintliga virtuella nätverk med hjälp Add-AzVirtualNetworkSubnetConfigav . Följande kommando förutsätter till exempel att du redan har ett virtuellt nätverk:

    $subnetName = "AzureBastionSubnet"
$virtualNetwork = MyVirtualNetwork
$addressPrefix = "10.0.2.0/24"
$subnet = New-AzVirtualNetworkSubnetConfig ` 
-Name $subnetName ` 
-AddressPrefix $addressPrefix `

Add-AzVirtualNetworkSubnetConfig ` 
-Name $subnetName `
-VirtualNetwork $virtualNetwork `
-AddressPrefix $addressprefix

  2. Skapa en offentlig IP-adress för Azure Bastion. Azure Bastion använder den offentliga IP-adressen för att tillåta RDP/SSH-anslutning via port 443. Den offentliga IP-adressen måste finnas i samma region som Azure Bastion-resursen.

    $publicip = New-AzPublicIpAddress `
-ResourceGroupName "myBastionRG" `
-name "myPublicIP" `
-location "westus2" `
-AllocationMethod Static `
-Sku Standard

  3. Skapa en Azure Bastion-resurs i undernätet AzureBastionSubnet för det virtuella nätverket.

    $bastion = New-AzBastion `
-ResourceGroupName "myBastionRG" `
-Name "myBastion" `
-PublicIpAddress $publicip `
-VirtualNetwork $virtualNetwork

Distribuera Azure Bastion med hjälp av Azure CLI

  1. Skapa Azure Bastion-undernätet:

    az network vnet subnet create \
  --resource-group myBastionRG \
  --vnet-name MyVirtualNetwork \
  --name AzureBastionSubnet \
  --address-prefixes 10.0.2.0/24

  2. Skapa en offentlig IP-adress för Azure Bastion:

    az network public-ip create \
  --resource-group MyResourceGroup \
  --name MyPublicIp \
  --sku Standard \
  --location westus2

  3. Skapa en Azure Bastion-resurs:

    az network bastion create \
  --name MyBastion \
  --public-ip-address MyPublicIp \
  --resource-group MyResourceGroup \
  --vnet-name MyVnet \
  --location westus2

Ansluta till virtuella datorer med hjälp av Azure Bastion

När du har de resurser som du behöver, bör du kunna ansluta till de virtuella datorerna i samma virtuella nätverk eller peer-kopplade virtuella nätverk. På den virtuella datorn i Azure Portal väljer du Bastion och anger dina autentiseringsuppgifter.

Screenshot of the Connect using Azure Bastion page with prompt for username and authentication type.

I nästa lektion går du igenom stegen för att distribuera Azure Bastion i ett befintligt virtuellt nätverk.