Руководство по развертыванию Бастиона Azure с помощью указанных параметров

В этом руководстве показано, как настроить выделенное развертывание Azure Bastion в вашей виртуальной сети из портала Azure с использованием настроек и типов SKU по вашему выбору. Номер SKU определяет функции и подключения, доступные для развертывания. Дополнительные сведения о номерах SKU и функциях см. в разделе "Параметры конфигурации" — номера SKU. После развертывания Bastion можно использовать SSH или RDP для подключения к виртуальным машинам в виртуальной сети через Bastion, используя их частные IP-адреса. При подключении к виртуальной машине не требуется общедоступный IP-адрес, клиентское программное обеспечение, агент или специальная конфигурация.

На следующей схеме показана архитектура выделенного развертывания Бастиона Azure для этого руководства. В отличие от архитектуры Bastion Developer, выделенная архитектура развертывания внедряет узел бастиона непосредственно в вашу виртуальную сеть.

Этапы в этом руководстве развертывают Bastion, используя стандартный SKU, через опцию выделенного развертывания Настроить вручную. В этом руководстве вы будете настраивать масштабирование узлов (число экземпляров), которое поддерживается уровнем SKU "Стандартный". Если для развертывания используется более низкий SKU, вы не можете настроить масштабирование хостов. Вы также можете выбрать зону доступности в зависимости от региона, в который вы хотите осуществить развертывание.

После завершения развертывания вы подключитесь к виртуальной машине, используя частный IP-адрес. Если общедоступный IP-адрес на виртуальной машине не требуется для других целей, его можно удалить.

В этом руководстве описано следующее:

Требуемые условия

Чтобы завершить работу с этим руководством, вам потребуются следующие ресурсы:

• Подписка Azure. Если у вас нет учетной записи, создайте бесплатный аккаунт прежде чем начать.

• Виртуальная сеть , в которую будет развернут Бастион.

• Виртуальная машина в виртуальной сети. Эта виртуальная машина не является частью конфигурации Бастиона и не становится узлом-бастионом. Подключение к этой виртуальной машине через Бастион описано далее в этом руководстве. Если у вас нет виртуальной машины, создайте её, используя Краткое руководство: Создание виртуальной машины Windows или Краткое руководство: Создание виртуальной машины Linux.

• Требуемые роли на виртуальной машине:

  • роль читателя на виртуальной машине;
  • Роль чтения в сетевом адаптере (сетевом адаптере) с частным IP-адресом виртуальной машины

• Требуемые входящие порты:

  • Для виртуальных машин Windows: RDP (3389)
  • Для виртуальных машин Linux: SSH (22)

Развертывание Бастиона

Этот раздел поможет развернуть Бастион в виртуальной сети. После развертывания Бастиона можно безопасно подключиться к любой виртуальной машине в виртуальной сети с помощью частного IP-адреса.

1. Войдите на портал Azure.

2. Перейдите к виртуальной сети. На странице виртуальной сети в левой области выберите Бастион. Эти инструкции также будут работать, если вы настраиваете Бастион на странице виртуальной машины на портале.

3. В области Бастиона разверните выделенные параметры развертывания, чтобы отобразить кнопку "Настройка вручную". Возможно, потребуется прокрутить, чтобы увидеть опцию расширения.

4. Выберите "Настроить вручную". Этот параметр позволяет настроить определенные дополнительные параметры (например, номер SKU) при развертывании Бастиона в виртуальной сети.

5. На панели "Создание бастиона" настройте параметры для узла бастиона. Сведения о проекте заполняются на основе значений вашей виртуальной сети. В разделе Сведения об экземпляре настройте следующие значения:

   Настройка	Значение
   Имя.	Укажите имя, которое вы хотите использовать для ресурса Бастиона. Например, vNet1-бастион.
   Область/регион	Выберите регион, в котором находится виртуальная сеть.
   Зона доступности	При желании выберите зоны из раскрывающегося списка. Поддерживаются только определенные регионы. Дополнительные сведения см. в разделе "Что такое зоны доступности?"
   Уровень	Для работы с этим руководством выберите SKU категории Стандартный. Сведения о функциях, доступных для каждого номера SKU, см. в разделе "Параметры конфигурации " SKU".
   Число экземпляров	Настройте масштабирование узла по единицам масштабирования. Используйте ползунок или введите число, чтобы настроить нужное число экземпляров, например 3. Дополнительные сведения можно найти в разделах «Экземпляры и масштабирование узлов» и стоимость Azure Bastion.

6. Настройте параметры виртуальных сетей. Выберите виртуальную сеть из раскрывающегося списка. Если виртуальная сеть отсутствует в раскрывающемся списке, убедитесь, что выбрано правильное значение региона на предыдущем шаге.

7. Если у вас уже есть подсеть, настроенная в виртуальной сети с именем AzureBastionSubnet, она автоматически выбирается на портале. Если вы этого не сделали, вы можете его создать. Чтобы создать AzureBastionSubnet, выберите "Управление конфигурацией подсети". В области подсетей выберите +Подсеть. Настройте следующие значения, а затем добавьте.

   Настройка	Значение
   Назначение подсети	Выберите Azure Bastion в раскрывающемся списке. Это указывает, что имя — AzureBastionSubnet.
   Начальный адрес	Введите начальный адрес подсети. Например, если адресное пространство равно 10.1.0.0/16, можно использовать 10.1.1.0 для начального адреса.
   Размер	Подсеть должна быть /26 или больше (например, /26, /25 или /24) для размещения функций, доступных с номером SKU уровня "Стандартный".

8. В верхней части панели Подсети, используя навигационные ссылки, выберите Создать бастион, чтобы вернуться на панель конфигурации бастиона.

   

9. В разделе "Общедоступный IP-адрес" вы настраиваете общедоступный IP-адрес ресурса узла бастиона, к которому будет доступ RDP/SSH (через порт 443). Настройте следующие параметры:

   Настройка	Значение
   Общедоступный IP-адрес	Выберите "Создать" , чтобы создать новый общедоступный IP-адрес для ресурса Бастиона. Вы также можете выбрать Использовать существующий и выбрать уже имеющийся общедоступный IP-адрес из раскрывающегося списка, если у вас уже есть IP-адрес, который соответствует необходимым критериям и не используется. Общедоступный IP-адрес должен находиться в том же регионе, что и создаваемый ресурс Бастиона.
   Имя общедоступного IP-адреса	Укажите имя общедоступного IP-адреса. Например, VNet1-бастион-ip.
   Номер SKU общедоступного IP-адреса	Общедоступный IP-адрес должен использовать номер SKU "Стандартный". Портал автоматически заполняет это значение.
   Назначение	Статический
   Зона доступности	Зональная избыточность (если доступно)

10. Завершив настройку параметров, выберите Просмотреть и создать. Этот шаг проверяет значения.

11. После прохождения проверки значений можно развернуть Бастион. Нажмите кнопку создания.

    В сообщении говорится, что развертывание в процессе. Состояние отображается на этой странице при создании ресурсов. Для создания и развертывания ресурса Бастиона потребуется около 10 минут.

Подключение к виртуальной машине

Для подключения к виртуальной машине вы можете использовать любое из приведенных ниже подробных руководств. Для некоторых типов подключений требуется Бастион Standard SKU.

• Подключение к виртуальной машине Windows
  • RDP
  • SSH
• Подключение к виртуальной машине Linux
  • SSH
• Подключение к масштабируемому набору
• Подключение через IP-адрес
• Подключение из родного клиента
  • Клиент Windows
  • Клиент Linux/SSH

Для подключения к виртуальной машине можно также использовать следующие основные шаги подключения:

1. На портале Azure перейдите к виртуальной машине, к которой необходимо подключиться.

2. В верхней части панели выберите Подключить>Бастион, чтобы перейти к панели Бастиона. Вы также можете перейти на панель Бастиона с помощью левого меню.

3. Параметры, доступные на панели Бастиона, зависят от номера SKU Бастиона .

   Если вы используете SKU Basic, вы подключаетесь к компьютеру под управлением Windows с помощью RDP и порта 3389. Кроме того, для базового SKU подключитесь к компьютеру Linux с помощью SSH и порта 22. Вы не можете изменить номер порта или протокол. Однако вы можете изменить язык клавиатуры для RDP, расширив параметры подключения на этой панели.

   Если вы используете номер SKU "Стандартный", доступны дополнительные параметры протокола подключения и порта. Разверните Параметры подключения, чтобы увидеть варианты. Обычно, если вы не настроите различные параметры для вашей виртуальной машины, вы подключаетесь к компьютеру Windows с помощью RDP и порта 3389. Подключение к компьютеру Linux с помощью SSH и порта 22.

4. Для типа проверки подлинности выберите тип проверки подлинности из раскрывающегося списка. Протокол определяет доступные типы проверки подлинности. Укажите необходимые значения проверки подлинности.

5. Чтобы открыть сеанс виртуальной машины на новой вкладке браузера, оставьте "Открыть" на новой вкладке браузера.

6. Выберите Подключиться, чтобы подключиться к виртуальной машине.

7. Убедитесь, что подключение к виртуальной машине открывается непосредственно в портал Azure (через HTML5) с помощью порта 443 и службы Бастиона.

Использование сочетаний клавиш при подключении к виртуальной машине может не приводить к такому же поведению, как и на локальном компьютере. Например, если вы подключены к виртуальной машине Windows с клиента Windows, используйте сочетание клавиш CTRL+ALT+END как эквивалент CTRL+ALT+DELETE на локальном компьютере. Для этого на Mac во время подключения к виртуальной машине Windows нажмите сочетание клавиш fn+control+option+delete.

Включить аудиовыход

Вы можете включить удаленный аудиовыход для виртуальной машины. Некоторые виртуальные машины автоматически позволяют включить этот параметр, а другие — включить параметры звука вручную. Параметры можно изменить на самой виртуальной машине. В вашем развертывании Бастиона не нужно настраивать специальные параметры конфигурации для включения удаленного аудиовыхода. Аудиовход в данный момент не поддерживается.

Чтобы включить удаленный аудиовыход на виртуальной машине Windows, сделайте следующее:

1. После подключения к виртуальной машине на панели инструментов появится кнопка звука в правом нижнем углу панели инструментов. Щелкните правой кнопкой мыши звук и выберите "Звуки".
2. Всплывающее сообщение запрашивает, нужно ли включить аудиослужбу Windows. Выберите Да. Дополнительные параметры звука можно настроить в параметрах звука.
3. Чтобы проверить выходные данные звука, наведите указатель мыши на кнопку звука на панели инструментов.

Удаление общедоступного IP-адреса виртуальной машины

При подключении к виртуальной машине с помощью Бастиона Azure не требуется общедоступный IP-адрес для виртуальной машины. Если вы не используете общедоступный IP-адрес для других компонентов, вы можете отключить его от виртуальной машины:

1. Перейдите на виртуальную машину. На странице Обзор щелкните общедоступный IP-адрес, чтобы открыть страницу общедоступного IP-адреса.

2. На странице общедоступного IP-адреса перейдите в раздел "Обзор". Вы можете просмотреть ресурс, с которым связан этот IP-адрес. Выберите Отключить в верхней части области.

3. Выберите "Да ", чтобы разъединить IP-адрес из сетевого интерфейса виртуальной машины. После разъединения общедоступного IP-адреса из сетевого интерфейса убедитесь, что он больше не указан в разделе "Связанные".

4. После отмены связи с IP-адресом можно удалить ресурс общедоступного IP-адреса. В области общедоступных IP-адресов виртуальной машины в верхней части страницы обзора нажмите кнопку "Удалить".

5. Выберите "Да" , чтобы удалить общедоступный IP-адрес.

Очистка ресурсов

Завершив работу с этим приложением, удалите ресурсы:

1. В поле Поиск в верхней части портала введите имя группы ресурсов. Когда группа ресурсов появится в результатах поиска, выберите ее.
2. Выберите команду Удалить группу ресурсов.
3. Введите имя группы ресурсов для ТИПА ИМЕНИ ГРУППЫ РЕСУРСОВ и нажмите кнопку "Удалить".

Следующие шаги

В этом руководстве вы развернули Бастион в виртуальной сети и подключились к виртуальной машине. Затем вы удалили общедоступный IP-адрес из виртуальной машины. Далее вы узнаете о дополнительных функциях Бастиона и настройте их.