你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:使用指定设置部署 Bastion

本教程帮助你使用自己指定的手动设置从 Azure 门户部署 Azure Bastion。 使用手动设置时,可以指定配置值(例如部署时的实例计数和 SKU)。 部署 Bastion 后,可以使用 VM 的专用 IP 地址,将 (SSH/RDP) 连接到虚拟网络中的虚拟机。 连接到 VM 时,不需要公共 IP 地址、客户端软件、代理或特殊配置。

在本教程中,你将使用标准 SKU 层部署 Bastion,并调整主机缩放(实例计数)。 部署完成后,通过专用 IP 地址连接到 VM。 如果 VM 具有你不需要其来执行任何其它操作的公共 IP 地址,可以将其删除。

Azure Bastion 是为你维护的 PaaS 服务,而不是在你的某个 VM 上安装并自行维护的堡垒主机。 有关 Azure Bastion 的详细信息,请参阅什么是 Azure Bastion?

本教程介绍以下操作:

  • 将 Bastion 部署到 VNet。
  • 连接到虚拟机。
  • 删除虚拟机中的公共 IP 地址。

如果还没有 Azure 订阅,可以在开始前创建一个免费帐户

先决条件

  • 虚拟网络。 这将是部署 Bastion 的 VNet。

  • 虚拟网络中的虚拟机。 此 VM 不是 Bastion 配置的一部分,不会成为堡垒主机。 本教程稍后会通过 Bastion 连接到此 VM。 如果没有 VM,请按照快速入门:创建 VM 的说明创建一个。

  • 所需 VM 角色:

    • 虚拟机上的读者角色。
    • NIC 上的读者角色(使用虚拟机的专用 IP)。
  • 所需的入站端口:

    • 适用于 Windows VM - RDP (3389)
    • 适用于 Linux VMs - SSH (22)

注意

目前不支持一起使用 Azure Bastion 和 Azure 专用 DNS 区域。 开始之前,请确保你计划在其中部署 Bastion 资源的虚拟网络未链接到专用 DNS 区域。

示例值

创建此配置时,可以使用以下示例值,也可以将其替换为自己的值。

基本 VNet 和 VM 值:

名称
虚拟机 TestVM
资源组 TestRG1
区域 美国东部
虚拟网络 VNet1
地址空间 10.1.0.0/16
子网 前端:10.1.0.0/24

Azure Bastion 值:

名称
名称 VNet1-bastion
+ 子网名称 AzureBastionSubnet
AzureBastionSubnet 地址 VNet 地址空间中子网掩码为 /26 或更大的子网。
例如 10.1.1.0/26。
层/SKU 标准
实例计数(主机缩放) 3 或更大
公共 IP 地址 新建
公共 IP 地址名称 VNet1-ip
公用 IP 地址 SKU Standard
分配 静态

重要

对于在 2021 年 11 月 2 日或之后部署的 Azure Bastion 资源,最小的 AzureBastionSubnet 大小为 /26 或更大(/25、/24 等)。 在此日期之前部署在大小为 /27 的子网中的所有 Azure Bastion 资源不受此更改的影响,并且将会继续工作,但强烈建议将任何现有的 AzureBastionSubnet 的大小增加到 /26,以防你未来会选择利用主机缩放

部署 Bastion

本部分帮助你将 Bastion 部署到 VNet。 部署 Bastion 后,可以使用其专用 IP 地址安全地连接到 VNet 中的任意 VM。

  1. 登录 Azure 门户

  2. 转到虚拟网络。

  3. 在虚拟网络页的左侧窗格中,选择“Bastion”以打开“Bastion”页。

  4. 在 Bastion 页上,选择“手动配置”。 这样,便可以在将 Bastion 部署到 VNet 时配置特定的其他设置。

    Bastion 页的屏幕截图,其中显示了我自己如何配置 Bastion。

  5. 在“创建 Bastion”页上,配置堡垒主机的设置。 使用虚拟网络值填充项目详细信息。 配置“实例详细信息”值。

    • 名称:键入你想用于堡垒资源的名称。

    • 区域:将在其中创建资源的 Azure 公共区域。 选择虚拟网络所在的区域。

    • :层也称为 SKU。 在本教程中选择了“标准”。 利用标准 SKU,可以配置主机缩放的实例计数和其他功能。 有关需要标准 SKU 的功能的详细信息,请参阅配置设置 - SKU

    • 实例计数:主机缩放的设置。 它以缩放单元增量进行配置。 使用滑块或键入数字来配置想要的实例计数。 在本教程中,可以选择首选的实例计数。 有关详细信息,请参阅主机缩放定价

    Bastion 页实例值的屏幕截图。

  6. 配置“虚拟网络”设置。 从下拉列表中选择 VNet。 如果在下拉列表中看不到 VNet,请确保在此页上的先前设置中选择了正确的区域。

  7. 若要配置 AzureBastionSubnet,请选择“管理子网配置”。

    “配置虚拟网络”部分的屏幕截图。

  8. 在“子网”页上,选择“+子网”以打开“添加子网”页面 。

  9. 在“添加子网”页上,使用以下值创建“AzureBastionSubnet”子网。 保留其他值为默认值。

    • 子网名称必须是 AzureBastionSubnet。
    • 子网必须至少为 /26 或更大(/26、/25、/24 等)才能容纳标准 SKU 提供的功能。

    选择页面底部的“保存”以保存值。

  10. 在“子网”页面顶部选择“创建 Bastion”以返回到 Bastion 配置页面 。

    创建 Bastion 的屏幕截图。

  11. “公共 IP 地址”部分用于配置堡垒主机资源的公共 IP 地址,将在该地址上通过端口 443 访问 RDP/SSH。 公共 IP 地址必须与要创建的 Bastion 资源位于同一区域。 创建新的 IP 地址。 可以保留默认命名建议。

  12. 完成指定设置后,选择“查看 + 创建”。 这会验证值。

  13. 验证通过后,可以部署 Bastion。 选择“创建”。 你将看到一条消息,其中指出你的部署正在进行中。 创建资源后,此页面上将显示状态。 创建和部署 Bastion 资源大约需要 10 分钟的时间。

连接到 VM

可按照以下任何详细文章的说明连接到 VM。 有些连接类型需要 Bastion 标准 SKU

还可按照以下部分中的基本连接步骤连接到 VM。

连接步骤

  1. Azure 门户中,转到要连接到的虚拟机。

  2. 在页面顶部,选择“连接”->“Bastion”,以转到“Bastion”页面。 还可以使用左侧菜单以转到“Bastion”页面。

  3. Bastion 页面上的可用选项取决于 Bastion SKU 层。 如果正在使用基本 SKU,可以使用 RDP 和端口 3389 连接到 Windows 计算机,使用 SSH 和端口 22 连接到 Linux 计算机。 没有用于更改端口号或协议的选项。 但是,可以通过展开“连接设置”更改 RDP 的键盘语言。

    Bastion 连接页面的屏幕截图。

    如果使用标准 SKU,有更多的连接协议和端口选项可用。 展开“连接设置”以查看选项。 通常,除非为 VM 配置了不同的设置,否则使用 RDP 和端口 3389 连接到 Windows 计算机,使用 SSH 和端口 22 连接到 Linux 计算机。

    已展开连接设置的屏幕截图。

  4. 从下拉列表选择“身份验证类型”。 协议确定可用的身份验证类型。 填写所需的身份验证值。

    显示身份验证类型下拉列表的屏幕截图。

  5. 若要在新浏览器选项卡中打开 VM 会话,请保持选中“在新浏览器选项卡中打开”。

  6. 单击“连接”以连接到 VM。

  7. 通过 Bastion 到此虚拟机的连接将使用端口 443 和 Bastion 服务在 Azure 门户中(通过 HTML5)直接打开。

    • 进行连接时,VM 的桌面看起来将与示例屏幕截图有所不同。
    • 连接到 VM 时,使用键盘快捷键可能不会产生与本地计算机上的快捷键相同的行为。 例如,从 Windows 客户端连接到 Windows VM 时,CTRL+ALT+END 是本地计算机上 CTRL+ALT+Delete 的键盘快捷方式。 若要在连接到 Windows VM 时从 Mac 上执行此操作,键盘快捷方式为 Fn+CTRL+ALT+Backspace。

    使用端口 443 连接的屏幕截图。

启用音频输出

可以为 VM 启用远程音频输出。 有些 VM 会自动启用此设置,而有些 VM 则要求手动启用音频设置。 这些设置是在 VM 本身上更改的。 Bastion 部署不需要任何特殊的配置设置来启用远程音频输出。

注意

音频输出占用 Internet 连接上的带宽。

在 Windows VM 上启用远程音频输出:

  1. 连接到 VM 后,在工具栏右下角将出现一个音频按钮。
  2. 右键单击音频按钮,然后选择“声音”。
  3. 此时会出现一个弹出窗口,询问你是否要启用 Windows 音频服务。 选择“是”。 可以在“声音首选项”中配置更多音频选项。
  4. 若要验证声音输出,请将鼠标悬停在工具栏的音频按钮上。

删除 VM 公共 IP 地址

使用 Azure Bastion 连接到一个 VM 时,无需 VM 的公共 IP 地址。 如果不将公共 IP 地址用于任何其他内容,可以解除其与 VM 的关联。 若要解除公共 IP 地址与 VM 的关联,请执行以下步骤:

  1. 转到你的虚拟机,然后选择“网络”。 单击“NIC 公共 IP”打开“公共 IP 地址”页。

    “网络”页的屏幕截图。

  2. 在“公共 IP 地址”页上,可以看到页面右下角的“关联到”下列出了 VM 网络接口。 单击页面顶部的“解除关联”。

    VM 的公共 IP 地址的屏幕截图。

  3. 单击“是”,将 IP 地址与网络接口解除关联。 解除公共 IP 地址与 VM 网络接口的关联后,可以看到它不再在“关联到”下列出。

  4. 解除 IP 地址关联后,可以删除公共 IP 地址资源。 在 VM 的“公共 IP 地址”页上,选择“删除”。

    删除公共 IP 地址资源的屏幕截图。

  5. 单击“是”以删除公共 IP 地址。

清理资源

如果你不打算继续使用此应用程序,请按以下步骤删除相关的资源:

  1. 在门户顶部的“搜索”框中输入资源组的名称。 当在搜索结果中看到你的资源组时,将其选中。
  2. 选择“删除资源组” 。
  3. 输入你的资源组的名称“键入资源组名称”:然后选择“删除” 。

后续步骤

在本教程中,已将 Bastion 部署到虚拟网络并连接到 VM。 然后,从 VM 中删除公共 IP 地址。 接下来,了解和配置其他 Bastion 功能。