Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается развертывание Бастиона Azure с помощью интерфейса командной строки. Бастион Azure — это служба PaaS, которая поддерживается для вас, а не узел-бастион, который вы устанавливаете на свою виртуальную машину и поддерживаете самостоятельно. Бастион Azure развертывается на уровне виртуальной сети, а не подписки, учетной записи или виртуальной машины. Дополнительные сведения о Бастионе Azure см. в статье Что такое Бастион Azure.
После развертывания Бастиона в виртуальной сети можно подключиться к виртуальным машинам через частный IP-адрес. Эта простая возможность подключения по протоколам RDP и SSH доступна для всех виртуальных машин в пределах одной и той же виртуальной сети. Если общедоступный IP-адрес на виртуальной машине не требуется для других целей, его можно удалить.
В этой статье вы создадите виртуальную сеть (если у вас еще нет), разверните Бастион Azure с помощью ИНТЕРФЕЙСА командной строки и подключитесь к виртуальной машине. Вы также можете развернуть Бастион с помощью следующих других методов:
- Портал Azure
- Azure PowerShell
- Quickstart - Deploy Bastion with default settings and the Standard SKU
Примечание.
Использование Azure Bastion с зонами Azure Private DNS поддерживается. Однако существуют ограничения. Дополнительные сведения см. в разделе Часто задаваемые вопросы о Azure Bastion.
Перед началом
Подписка Azure.
Убедитесь в том, что у вас уже есть подписка Azure. Если у вас нет подписки Azure, вы можете активировать преимущества для подписчиков MSDN или зарегистрировать бесплатную учетную запись.
Azure CLI
В этой статье используется Azure CLI. Для запуска команд можно использовать Azure Cloud Shell. Azure Cloud Shell — это бесплатная интерактивная оболочка, с помощью которой можно выполнять действия, описанные в этой статье. Она включает предварительно установленные общие инструменты Azure и настроена для использования с вашей учетной записью.
Чтобы открыть Cloud Shell, просто выберите Попробовать в правом верхнем углу блока кода. Можно также запустить Cloud Shell на отдельной вкладке браузера, перейдя по адресу https://shell.azure.com и развернув раскрывающийся список в левом углу, чтобы выбрать Bash или PowerShell. Нажмите кнопку Копировать, чтобы скопировать блоки кода. Вставьте код в Cloud Shell и нажмите клавишу "ВВОД", чтобы выполнить его.
Развертывание Бастиона
В этом разделе показано, как развернуть Бастион Azure с помощью Azure CLI.
Внимание
Hourly pricing starts from the moment that Bastion is deployed, regardless of outbound data usage. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.
Если у вас еще нет виртуальной сети, создайте группу ресурсов и виртуальную сеть с помощью az group create и az network vnet create.
az group create --name TestRG1 --location eastusaz network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24Используйте az network vnet subnet create , чтобы создать подсеть, в которую будет развернут бастион. Созданная подсеть должна называться AzureBastionSubnet. Эта подсеть резервируется исключительно для ресурсов Бастиона Azure. Если у вас нет подсети с именем AzureBastionSubnet, бастион не будет развернут.
- Наименьший размер создаваемой подсети AzureBastionSubnet — /26. Мы рекомендуем создать подсеть с размером /26 или больше, чтобы обеспечить масштабирование хостов.
- Дополнительные сведения о масштабировании узла см. в разделе Параметры конфигурации: масштабирование узлов.
- Дополнительные сведения о параметрах см. в разделе Параметры конфигурации: AzureBastionSubnet.
- Создайте AzureBastionSubnet без каких-либо таблиц маршрутизации или делегирований.
- Если вы используете группы безопасности сети в подсети AzureBastionSubnet, см. статью Работа с группами безопасности сети.
az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26- Наименьший размер создаваемой подсети AzureBastionSubnet — /26. Мы рекомендуем создать подсеть с размером /26 или больше, чтобы обеспечить масштабирование хостов.
Создайте общедоступный IP-адрес для Бастиона Azure. The public IP is the public IP address the Bastion resource on which RDP/SSH will be accessed (over port 443). Общедоступный IP-адрес должен находиться в том же регионе, что и создаваемый ресурс Бастиона. По этой причине обратите особое внимание на указанное
--locationзначение.az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastusИспользуйте az network Bastion create, чтобы создать новый ресурс Azure Bastion для вашей виртуальной сети. Создание и развертывание ресурса Бастиона занимает около 10 минут.
В следующем примере выполняется развертывание Бастиона с помощью уровня SKU "Базовый". You can also deploy using other SKUs. The SKU determines the features that your Bastion deployment supports. Если в команде не указан номер SKU, номер SKU по умолчанию имеет значение "Стандартный". Дополнительные сведения см. в разделе Номера SKU Бастиона.
az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic
Подключение к виртуальной машине
Если у вас еще нет виртуальных машин в виртуальной сети, можно создать виртуальную машину с помощью Краткое руководство: Создание виртуальной машины Windows или Краткое руководство: Создание виртуальной машины Linux
Чтобы подключиться к виртуальной машине, можно использовать любую из следующих статей или действия, описанные в следующем разделе. Some connection types require the Bastion Standard SKU or higher.
- Подключение к виртуальной машине Windows
- Подключение к виртуальной машине Linux
- Connect to a scale set
- Подключение через IP-адрес
- Подключение из родного клиента
Подключение с помощью портала
Ниже описано, как выполнить одно из типов подключения с помощью портал Azure.
На портале Azure перейдите к виртуальной машине, к которой необходимо подключиться.
В верхней части панели выберите Подключить>Бастион, чтобы перейти к панели Бастиона. Вы также можете перейти на панель Бастиона с помощью меню слева.
Параметры, доступные на панели Бастиона, зависят от номера SKU Бастиона .
Если вы используете базовый SKU, вы подключаетесь к компьютеру под управлением Windows с помощью RDP и порта 3389. Also for the Basic SKU, you connect to a Linux computer by using SSH and port 22. Вы не можете изменить номер порта или протокол. Однако вы можете изменить язык клавиатуры для RDP, расширив параметры подключения на этой панели.
Если вы используете номер SKU "Стандартный", доступны дополнительные параметры протокола подключения и порта. Разверните Параметры подключения, чтобы увидеть доступные варианты. Как правило, если вы не настроили для виртуальной машины другие параметры, вы подключаетесь к компьютеру Windows с помощью RDP и порта 3389. Подключение к компьютеру Linux с помощью SSH и порта 22.
Для типа проверки подлинности выберите тип проверки подлинности из раскрывающегося списка. Протокол определяет доступные типы проверки подлинности. Укажите необходимые значения проверки подлинности.
Чтобы открыть сеанс виртуальной машины на новой вкладке браузера, оставьте "Открыть" на новой вкладке браузера.
Выберите Подключиться, чтобы подключиться к виртуальной машине.
Убедитесь, что подключение к виртуальной машине открывается непосредственно в портал Azure (через HTML5) с помощью порта 443 и службы Бастиона.
Использование сочетаний клавиш при подключении к виртуальной машине может не привести к тому же поведению, что и сочетания клавиш на локальном компьютере. For example, when you're connected to a Windows VM from a Windows client, Ctrl+Alt+End is the keyboard shortcut for Ctrl+Alt+Delete on a local computer. Для этого на Mac, во время подключения к виртуальной машине Windows, используйте сочетание клавиш fn+control+option+delete.
Включение аудиовыхода
Вы можете включить удаленный аудиовыход для виртуальной машины. Некоторые виртуальные машины автоматически позволяют включить этот параметр, а другие — включить параметры звука вручную. Параметры можно изменить на самой виртуальной машине. В вашем развертывании Бастиона не нужно настраивать специальные параметры конфигурации для включения удаленного аудиовыхода. В данный момент аудиоввод не поддерживается.
Примечание.
Аудиовыход потребляет пропускную способность вашего интернет-соединения.
Чтобы включить удаленный аудиовыход на виртуальной машине Windows, сделайте следующее:
- После подключения к виртуальной машине на панели инструментов появится кнопка звука в правом нижнем углу панели инструментов. Щелкните правой кнопкой мыши звук и выберите "Звуки".
- Всплывающее сообщение запрашивает, нужно ли включить аудиослужбу Windows. Выберите Да. Дополнительные параметры звука можно настроить в параметрах звука.
- Чтобы проверить выходные данные звука, наведите указатель мыши на кнопку звука на панели инструментов.
Удаление общедоступного IP-адреса виртуальной машины
Бастион Azure не использует общедоступный IP-адрес для подключения к клиентской виртуальной машине. Если общедоступный IP-адрес виртуальной машины вам не нужен, вы можете отменить связь с ним. См. статью Отмена связи общедоступного IP-адреса с виртуальной машиной Azure.
Следующие шаги
- Сведения об использовании групп безопасности сети с подсетью Бастиона Azure см. в статье Работа с группами безопасности сети.
- Чтобы понять пиринг виртуальных сетей, см. пиринг виртуальных сетей и Azure Bastion.