你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

创建 Bastion 的可共享链接

  • 项目

Bastion“可共享链接”功能允许用户通过 Azure Bastion 连接到目标资源(虚拟机或虚拟机规模集),无需访问 Azure 门户。 本文介绍如何使用可共享链接功能为现有 Azure Bastion 部署创建可共享链接。

当没有 Azure 凭据的用户单击可共享链接时,会打开一个网页,提示用户通过 RDP 或 SSH 登录到目标资源。 用户使用用户名和密码或私钥进行身份验证,具体取决于你为该目标资源配置的内容。 可共享链接不包含任何凭据 - 管理员必须向用户提供登录凭据。

默认情况下,组织中的用户对共享链接只有读取访问权限。 如果用户具有读取访问权限,则他们只能使用和查看共享链接,但无法创建或删除可共享链接。 有关详细信息,请参阅本文的权限部分。

注意事项

  • 当前,跨租户的对等互连 VNET 不支持可共享链接。
  • 虚拟 WAN 目前不支持可共享链接。
  • 可共享链接不支持连接到本地或非 Azure VM 和 VMSS。 
  • 此功能需要标准 SKU。
  • Bastion 一次仅支持 50 个对可共享链接的请求,包括创建和删除。
  • 每个 Bastion 资源仅支持 500 个可共享链接。

先决条件

  • Azure Bastion 已部署到 VNet。 请参阅教程:使用手动设置部署 Bastion 了解相关步骤。

  • 必须将 Bastion 配置为对此功能使用标准 SKU。 配置可共享链接功能时,可以将 SKU 从“基本”更新为“标准”。

  • 在其中部署了 Bastion 资源的 VNet 或者直接对等互连的 VNet 包含你想要创建可共享链接的 VM 资源。

必须先启用该功能,然后才能创建指向 VM 的可共享链接。

  1. 在 Azure 门户中,转到你的 Bastion 资源。

  2. 在“Bastion”页上的左窗格中单击“配置”。

    已选择可共享链接的配置设置的屏幕截图。

  3. 在“配置”页上的“层级”处选择标准服务层级(如果尚未选择)。 此功能需要标准 SKU。

  4. 从列出的功能中选择“可共享链接”,以启用“可共享链接”功能。

  5. 验证是否已选择所需的设置,然后单击“应用”。

  6. Bastion 将立即开始更新堡垒主机的设置。 更新需要大约 10 分钟时间。

在本部分中,将指定要为其创建可共享链接的每个资源

  1. 在 Azure 门户中,转到你的 Bastion 资源。

  2. 在“Bastion”页上的左窗格中,单击“可共享链接”。 单击“+ 添加”,打开“创建可共享链接”页。

    包含“+ 添加”的可共享链接页的屏幕截图。

  3. 在“创建可共享链接”页上,选择要为其创建可共享链接的资源。 可以选择特定资源,也可以全选。 系统将为每个所选资源创建单独的可共享链接。 单击“应用”以创建链接。

    用于创建可共享链接的可共享链接页面的屏幕截图。

  4. 创建链接后,可以在“可共享链接”页上查看这些链接。 以下示例显示了多个资源的链接。 可以看到,每个资源都有一个单独的链接,并且链接状态为“活动”。 请复制要共享的链接,然后将其发送给用户。 该链接不包含身份验证凭据。

    显示所有可用资源链接的可共享链接页的屏幕截图。

连接到 VM

  1. 用户可在浏览器中打开自己收到的链接。

  2. 在左侧角,用户可以选择是否查看复制到剪贴板的文本和图像。 用户输入所需信息,然后单击“登录”进行连接。 共享链接不包含身份验证凭据。 管理员必须向用户提供登录凭据。 支持自定义端口和协议。

    使用浏览器中的可共享链接登录堡垒主机的屏幕截图。

注意

如果无法再打开某个链接,则表示组织中的某个人已删除该资源。 虽然你仍然可以在列表中看到这个共享链接,但该链接不再连接到目标资源,并将显示连接错误。 可从列表中删除该共享链接,或将其保留以供审核。

  1. 在 Azure 门户中,转到“Bastion 资源”->“可共享链接”。

  2. 在“可共享链接”页上选择要删除的资源链接,然后单击“删除”。

    选择要删除的链接的屏幕截图。

权限

对可共享链接功能的权限是通过访问控制(标识和访问管理)配置的。 默认情况下,组织中的用户对共享链接只有读取访问权限。 如果用户具有读取访问权限,则他们只能使用和查看共享链接,但无法创建或删除它们。

若要向某人授予创建或删除共享链接的权限,请执行以下步骤:

  1. 在 Azure 门户中,转到你的堡垒主机。

  2. 转到“访问控制(标识和访问管理)”页。

  3. 在 Microsoft.Network/bastionHosts 部分中配置以下权限:

    • 其他:为堡垒主机下的 VM 创建可共享的 URL 并返回 URL。
    • 其他:删除堡垒主机下给定 VM 的可共享 URL。
    • 其他:删除堡垒主机下给定令牌的可共享 URL。

    这些权限对应于以下 PowerShell cmdlet:

    • Microsoft.Network/bastionHosts/createShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinksByToken/action
    • Microsoft.Network/bastionHosts/getShareableLinks/action - 如果未启用此功能,用户将无法看到可共享的链接。

后续步骤