使用 Azure CLI 部署 Bastion
本文說明如何使用 CLI 部署 Azure Bastion。 Azure Bastion 是無需自行維護的一種 PaaS 服務,而不是安裝在您的 VM 且需要自行維護的堡壘主機。 Azure Bastion 部署以每個虛擬網路為基礎,而非按照每個訂用帳戶/帳戶或虛擬機器。 如需 Azure Bastion 的詳細資訊,請參閱什麼是 Azure Bastion?
將 Bastion 部署至虛擬網路之後,您可以透過私人 IP 位址連線到 VM。 此順暢的 RDP/SSH 體驗適用於相同虛擬網路中的所有 VM。 如果您完全不需要 VM 的公用 IP 位址,移除即可。
在本文中,您會建立虛擬網路 (如果您還沒有),使用 CLI 部署 Azure Bastion,然後連線到 VM。 您也可以使用下列其他方法來部署 Bastion:
注意
支援將 Bastion 與 Azure 私人 DNS 區域一起使用。 但是會有一些限制。 如需詳細資訊,請參閱 Azure Bastion 常見問題集。
開始之前
Azure 訂用帳戶
驗證您有 Azure 訂用帳戶。 如果您還沒有 Azure 訂用帳戶,則可以啟用 MSDN 訂戶權益或註冊免費帳戶。
Azure CLI
本文使用 Azure CLI。 若要執行命令,您可以使用 Azure Cloud Shell。 Azure Cloud Shell 是免費的互動式 Shell,可讓您用來執行本文中的步驟。 它具有預先安裝和設定的共用 Azure 工具,可與您的帳戶搭配使用。
若要開啟 Cloud Shell,只要選取程式碼區塊右上角的 [試試看] 即可。 您也可以在另一個瀏覽器索引標籤中移至 https://shell.azure.com 以啟動 Cloud Shell,然後切換左側角落的下拉式清單以反映 Bash 或 PowerShell。 選取 [複製] 即可複製程式碼區塊,將它貼到 Cloud Shell 中,然後按 enter 鍵加以執行。
部署 Bastion
本節協助您使用 Azure CLI 部署 Azure Bastion。
重要
無論輸出資料使用量為何,每小時價格都是從部署 Bastion 的那一刻開始計費。 如需詳細資訊,請參閱價格和 SKU。 如果您要在教學課程或測試期間部署 Bastion,建議您在使用完畢後刪除此資源。
如果您還沒有虛擬網路,請使用 az group create 和 az network vnet create 來建立資源群組和虛擬網路。
az group create --name TestRG1 --location eastus
az network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24
使用 az network vnet subnet create 來建立將部署 Bastion 的子網路。 您建立的子網路必須命名為 AzureBastionSubnet。 這個子網路專門保留給 Azure Bastion 資源使用。 如果您沒有具有命名值 AzureBastionSubnet 的子網路,Bastion 將不會部署。
- 您可以建立的最小子網路 AzureBastionSubnet 大小為 /26。 建議您配合主機調整,建立 /26 或更大的大小。
- 有關調整的詳細資訊,請參閱組態設定 - 主機調整。
- 如需設定的詳細資訊,請參閱組態設定 - AzureBastionSubnet。
- 建立無任何路由表或委派的 AzureBastionSubnet。
- 如果您在 AzureBastionSubnet 上使用網路安全性群組,請參閱使用 NSG 一文。
az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26
- 您可以建立的最小子網路 AzureBastionSubnet 大小為 /26。 建議您配合主機調整,建立 /26 或更大的大小。
為 Azure Bastion 建立公用 IP 位址。 公用 IP 位址是 Bastion 資源的公用 IP 位址,而在此資源上將存取 RDP/SSH (透過連接埠 443)。 公用 IP 位址與您建立的 Bastion 資源必須位於相同的區域。 基於這個理由,請特別注意您指定的
--location
值。az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastus
使用 az network bastion create 為您的虛擬網路建立新的 Azure Bastion 資源。 建立和部署 Bastion 資源約需要 10 分鐘。
下列範例會使用基本 SKU 層來部署 Bastion。 您也可以使用其他 SKU 進行部署。 SKU 會決定 Bastion 部署支援的功能。 如果您未在命令中指定 SKU,SKU 預設會為標準。 如需詳細資訊,請參閱 Bastion SKU。
az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic
連線至 VM
如果您的虛擬網路中還沒有 VM,則可以使用快速入門:建立 Windows VM 或快速入門:建立 Linux VM 來建立 VM
您可以使用下列任一文章,或下一節中的步驟來協助您連線至 VM。 某些連線類型需要 Bastion Standard SKU 或更高版本。
- 連線至 Windows VM
- 連線至 Linux VM
- 連線到擴展集
- 透過 IP 位址連線
- 從原生用戶端連線
使用入口網站連線
下列步驟會逐步引導您使用 Azure 入口網站完成一種連線類型。
在 Azure 入口網站中,前往您要連線的虛擬機器。
在窗格頂端,選取 [連線] > [Bastion],以前往 [Bastion] 窗格。 您也可以使用左側功能表來移至 [Bastion] 窗格。
[Bastion] 窗格上可用的選項取決於 Bastion SKU。 如果您使用基本 SKU,請使用 RDP 和連接埠 3389 連線至 Windows 電腦。 此外,若是基本 SKU,請使用 SSH 和連接埠 22 連線至 Linux 電腦。 沒有選項可讓您變更連接埠號碼或通訊協定。 但您可以展開 [連線設定],然後變更 RDP 的鍵盤語言。
如果您使用標準 SKU,即可使用更多的連線通訊協定和連接埠選項。 展開 [連線設定] 以查看選項。 一般而言,除非您針對 VM 進行不同的設定,否則請使用 RDP 和連接埠 3389 連線至 Windows 電腦。 使用 SSH 和連接埠 22 連線至 Linux 電腦。
針對驗證類型,請從挑選清單中選取。 通訊協定會決定可用的驗證類型。 完成必要的驗證值。
若要在新瀏覽器索引標籤中開啟 VM 工作階段,請將 [在新瀏覽器索引標籤中開啟] 保持選取。
選取 [連線] 以連線至 VM。
透過使用連接埠 443 和 Bastion 服務,確認與此虛擬機器的連線直接在 Azure 入口網站中開啟 (透過 HTML5)。
注意
當您連線時,VM 的桌面看起來與範例螢幕擷取畫面不同。
連線到 VM 之後使用鍵盤快速鍵時,效果可能與本機電腦上的快速鍵不同。 例如,從 Windows 用戶端連線到 Windows VM 時,Ctrl+Alt+End 是本機電腦上的 Ctrl+Alt+Delete 鍵盤快速鍵。 若要在連線到 Windows VM 時從 Mac 執行此動作,鍵盤快捷方式是 fn+control+option+delete。
啟用音訊輸出
您可以為 VM 啟用遠端音訊輸出。 有些 VM 會自動啟用此設定,而有些需要您手動啟用音訊設定。 設定變更是在 VM 本身。 Bastion 部署不需要任何特殊設定,即可啟用遠端音訊輸出。
注意
音訊輸出會使用網際網路連線上的頻寬。
若要在 Windows VM 上啟用遠端音訊輸出:
- 連線至 VM 後,音訊按鈕會出現在工具列的右下角。 以滑鼠右鍵按一下音訊按鈕,然後選取 [音效]。
- 快顯訊息會詢問您是否要啟用 Windows 音訊服務。 選取 [是]。 您可以在 [音效喜好設定] 中設定更多音訊選項。
- 若要驗證音效輸出,請將滑鼠停留在工具列上的音訊按鈕。
移除 VM 公用 IP 位址
Azure Bastion 不使用公用 IP 位址來連線到用戶端 VM。 如果 VM 不需要公用 IP 位址,您可以取消公用 IP 位址的關聯。 請參閱中斷公用 IP 位址與 Azure VM 的關聯。
下一步
- 若要搭配使用網路安全性群組與 Azure Bastion子網路,請參閱使用 NSG。
- 若要了解 VNet 對等互連,請參閱 VNet 對等互連和 Azure Bastion。