Sdílet prostřednictvím

Kurz: Nasazení služby Azure Bastion pomocí zadaných nastavení

  • Článek

Tento kurz vám pomůže nakonfigurovat vyhrazené nasazení služby Azure Bastion do vaší virtuální sítě z webu Azure Portal pomocí nastavení a skladové položky podle vašeho výběru. Skladová položka určuje funkce a připojení, která jsou k dispozici pro vaše nasazení. Další informace o skladových posílacích a funkcích najdete v tématu Nastavení konfigurace – skladové položky. Po nasazení Bastionu můžete pomocí SSH nebo RDP připojit k virtuálním počítačům ve virtuální síti přes Bastion pomocí privátních IP adres virtuálních počítačů. Když se připojíte k virtuálnímu počítači, nepotřebujete veřejnou IP adresu, klientský software, agenta ani speciální konfiguraci.

Následující diagram znázorňuje architekturu vyhrazeného nasazení služby Azure Bastion pro účely tohoto kurzu. Na rozdíl od architektury SKU pro vývojáře nasadí vyhrazená architektura nasazení vyhrazeného hostitele bastionu přímo do vaší virtuální sítě.

Diagram znázorňující architekturu služby Azure Bastion

Kroky v tomto kurzu nasadí Bastion pomocí standardní skladové položky prostřednictvím možnosti vyhrazeného nasazení Konfigurovat ručně. V tomto kurzu upravíte škálování hostitele (počet instancí), které skladová položka Standard podporuje. Pokud pro nasazení použijete nižší skladovou položku, nemůžete upravit škálování hostitele. Můžete také vybrat zónu dostupnosti v závislosti na oblasti, do které chcete nasadit.

Po dokončení nasazení se k virtuálnímu počítači připojíte přes privátní IP adresu. Pokud má váš virtuální počítač veřejnou IP adresu, kterou nepotřebujete, můžete ji odebrat.

V tomto kurzu se naučíte:

  • Nasaďte Bastion do virtuální sítě.
  • Připojte se k virtuálnímu počítači.
  • Odeberte veřejnou IP adresu z virtuálního počítače.

Požadavky

K dokončení tohoto kurzu potřebujete tyto prostředky:

  • Předplatné Azure. Pokud ho nemáte, vytvořte si bezplatný účet před tím, než začnete.

  • Virtuální síť , do které nasadíte Bastion.

  • Virtuální počítač ve virtuální síti. Tento virtuální počítač není součástí konfigurace Bastionu a nestane se hostitelem bastionu. K tomuto virtuálnímu počítači se připojíte později v tomto kurzu prostřednictvím Bastionu. Pokud virtuální počítač nemáte, vytvořte ho pomocí rychlého startu: Vytvoření virtuálního počítače s Windows nebo rychlého startu: Vytvoření virtuálního počítače s Linuxem.

  • Požadované role virtuálních počítačů:

    • Role čtenáře u virtuálního počítače
    • Role čtenáře na síťovém adaptéru (NIC) s privátní IP adresou virtuálního počítače

  • Požadované příchozí porty:

    • Pro virtuální počítače s Windows: RDP (3389)
    • Pro virtuální počítače s Linuxem: SSH (22)

Poznámka:

Použití služby Azure Bastion s zónami Azure Privátní DNS se podporuje. Existují však omezení. Další informace najdete v nejčastějších dotazech ke službě Azure Bastion.

Nasazení Bastionu

Tato část vám pomůže nasadit Bastion do virtuální sítě. Po nasazení Bastionu se můžete bezpečně připojit k libovolnému virtuálnímu počítači ve virtuální síti pomocí jeho privátní IP adresy.

Důležité

Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Další informace najdete v tématu Ceny a skladové položky. Pokud bastion nasazujete jako součást kurzu nebo testu, doporučujeme tento prostředek po dokončení jeho použití odstranit.

  1. Přihlaste se k portálu Azure.

  2. Přejděte do své virtuální sítě. Na stránce vaší virtuální sítě v levém podokně vyberte Bastion. Tyto pokyny budou fungovat také v případě, že na portálu konfigurujete Bastion ze stránky virtuálního počítače.

  3. V podokně Bastion rozbalte položku Možnosti vyhrazeného nasazení , aby se zobrazilo tlačítko Konfigurovat ručně . Možná se budete muset posunout, abyste viděli možnost rozbalení.

  4. Vyberte Konfigurovat ručně. Tato možnost umožňuje nakonfigurovat konkrétní další nastavení (například skladovou položku) při nasazování Bastionu do virtuální sítě.

  5. V podokně Vytvořit bastion nakonfigurujte nastavení pro vašeho hostitele bastionu. Podrobnosti o projektu se vyplní z hodnot virtuální sítě. V části Podrobnosti instance nakonfigurujte tyto hodnoty:

    Nastavení Hodnota
    Name Zadejte název, který chcete použít pro prostředek Bastion. Například VNet1-bastion.
    Oblast Vyberte oblast, ve které se nachází vaše virtuální síť.
    Availability zone V případě potřeby vyberte zóny z rozevíracího seznamu. Podporují se jenom určité oblasti. Další informace najdete v tématu Co jsou zóny dostupnosti?
    Úroveň Pro účely tohoto kurzu vyberte skladovou položku Standard . Informace o funkcích dostupných pro jednotlivé skladové položky najdete v tématu Nastavení konfigurace – skladová položka.
    Počet instancí Nakonfigurujte škálování hostitele v přírůstcích jednotek škálování. Pomocí posuvníku nebo zadejte číslo ke konfiguraci požadovaného počtu instancí, například 3. Další informace najdete v tématu Instance a škálování hostitelů a ceny služby Azure Bastion.

  6. Nakonfigurujte nastavení virtuálních sítí. V rozevíracím seznamu vyberte svou virtuální síť. Pokud vaše virtuální síť není v rozevíracím seznamu, ujistěte se, že jste v předchozím kroku vybrali správnou hodnotu oblasti .

  7. Pokud už v podsíti máte ve virtuální síti nakonfigurovanou podsíť s názvem AzureBastionSubnet, automaticky se vybere na portálu. Pokud to neuděláte, můžete si ho vytvořit. Pokud chcete vytvořit podsíť AzureBastionSubnet, vyberte Spravovat konfiguraci podsítě. V podokně Podsítě vyberte +Podsíť. Nakonfigurujte následující hodnoty a pak přidejte.

    Nastavení Hodnota
    Účel podsítě V rozevíracím seznamu vyberte Azure Bastion . Určuje, že název je AzureBastionSubnet.
    Počáteční adresa Zadejte počáteční adresu podsítě. Pokud je například adresní prostor 10.1.0.0/16, můžete pro počáteční adresu použít adresu 10.1.1.0 .
    Velikost Podsíť musí být /26 nebo větší (například /26, /25 nebo /24), aby vyhovovala funkcím dostupným u skladové položky Standard.

  8. V horní části podokna Podsítě pomocí odkazů s popisem cesty vyberte Vytvořit bastion a vraťte se do podokna konfigurace Bastionu.

    Snímek obrazovky s podoknem se seznamem podsítí služby Azure Bastion

  9. V části Veřejná IP adresa se konfiguruje veřejná IP adresa prostředku hostitele bastionu, ke kterému bude přistupovat protokol RDP/SSH (přes port 443). Nakonfigurujte tato nastavení:

    Nastavení Hodnota
    Veřejná IP adresa Vyberte Vytvořit novou a vytvořte novou veřejnou IP adresu pro prostředek Bastion. Pokud už máte VYTVOŘENOu IP adresu, která splňuje správná kritéria, můžete také vybrat existující veřejnou IP adresu a v rozevíracím seznamu vybrat existující veřejnou IP adresu. Veřejná IP adresa musí být ve stejné oblasti jako prostředek Bastion, který vytváříte.
    Název veřejné IP adresy Zadejte název veřejné IP adresy. Například VNet1-bastion-ip.
    Skladová položka veřejné IP adresy Veřejná IP adresa musí používat skladovou položku Standard . Portál tuto hodnotu automaticky naplní.
    Přiřazení staticky.
    Availability zone Zónově redundantní (pokud je k dispozici)

  10. Po zadání nastavení vyberte Zkontrolovat a vytvořit. Tento krok ověří hodnoty.

  11. Po ověření hodnot můžete nasadit Bastion. Vyberte Vytvořit.

    Zpráva říká, že vaše nasazení probíhá. Stav se zobrazí na této stránce při vytváření prostředků. Vytvoření a nasazení prostředku Bastion trvá přibližně 10 minut.

Připojení k virtuálnímu počítači

K připojení k virtuálnímu počítači můžete použít některý z následujících podrobných článků. Některé typy připojení vyžadují skladovou položku Bastion Standard.

K připojení k virtuálnímu počítači můžete použít také tyto základní kroky připojení:

  1. Na webu Azure Portal přejděte na virtuální počítač, ke kterému se chcete připojit.

  2. V horní části podokna vyberte Připojit>Bastion a přejděte do podokna Bastion. K podoknu Bastion můžete přejít také pomocí levé nabídky.

  3. Možnosti dostupné v podokně Bastion závisí na skladové poště Bastionu.

    Pokud používáte skladovou položku Basic, připojíte se k počítači s Windows pomocí protokolu RDP a portu 3389. Pro skladovou položku Basic se také připojíte k počítači s Linuxem pomocí SSH a portu 22. Nemáte možnost změnit číslo portu ani protokol. Jazyk klávesnice pro protokol RDP ale můžete změnit rozbalením Nastavení připojení v tomto podokně.

    Pokud používáte skladovou položku Standard, máte k dispozici více protokolů připojení a možností portu. Rozbalením nastavení připojení zobrazíte možnosti. Obvykle platí, že pokud pro virtuální počítač nenakonfigurujete jiná nastavení, připojíte se k počítači s Windows pomocí protokolu RDP a portu 3389. K počítači s Linuxem se připojujete pomocí SSH a portu 22.

  4. V poli Typ ověřování vyberte v rozevíracím seznamu typ ověřování. Protokol určuje dostupné typy ověřování. Dokončete požadované hodnoty ověřování.

  5. Pokud chcete otevřít relaci virtuálního počítače na nové kartě prohlížeče, ponechte vybranou kartu Otevřít v novém prohlížeči.

  6. Vyberte Připojit a připojte se k virtuálnímu počítači.

  7. Pomocí portu 443 a služby Bastion ověřte, že se připojení k virtuálnímu počítači otevře přímo na webu Azure Portal (přes HTML5).

Použití klávesových zkratek při připojení k virtuálnímu počítači nemusí mít za následek stejné chování jako klávesové zkratky na místním počítači. Pokud jste například připojení k virtuálnímu počítači s Windows z klienta Windows, ctrl+Alt+End je klávesová zkratka ctrl+Alt+Delete na místním počítači. Uděláte to z Macu, když jste připojení k virtuálnímu počítači s Windows, klávesová zkratka fn+control+option+delete.

Povolení zvukového výstupu

Pro virtuální počítač můžete povolit vzdálený zvukový výstup. Některé virtuální počítače toto nastavení automaticky povolují, zatímco jiné vyžadují ruční povolení nastavení zvuku. Nastavení se změní na samotném virtuálním počítači. K povolení vzdáleného zvukového výstupu vaše nasazení Bastionu nepotřebujete žádná speciální nastavení konfigurace.

Poznámka:

Zvukový výstup používá šířku pásma připojení k internetu.

Povolení vzdáleného zvukového výstupu na virtuálním počítači s Windows:

  1. Po připojení k virtuálnímu počítači se v pravém dolním rohu panelu nástrojů zobrazí zvukové tlačítko. Klikněte pravým tlačítkem myši na tlačítko zvuku a pak vyberte Zvuky.
  2. Zobrazí se automaticky otevíraná zpráva s dotazem, jestli chcete povolit službu Windows Audio Service. Vyberte Ano. V předvolbách zvuku můžete nakonfigurovat další možnosti zvuku.
  3. Pokud chcete ověřit zvukový výstup, najeďte myší na tlačítko zvuku na panelu nástrojů.

Odebrání veřejné IP adresy virtuálního počítače

Když se k virtuálnímu počítači připojíte pomocí služby Azure Bastion, nepotřebujete pro svůj virtuální počítač veřejnou IP adresu. Pokud nepoužíváte veřejnou IP adresu pro nic jiného, můžete ji zrušit od svého virtuálního počítače:

  1. Přejděte na virtuální počítač. Na stránce Přehled kliknutím na veřejnou IP adresu otevřete stránku Veřejné IP adresy.

  2. Na stránce Veřejná IP adresa přejděte na Přehled. Můžete zobrazit prostředek, ke kterému je tato IP adresa přidružená. V horní části podokna vyberte Zrušit přidružení .

  3. Chcete-li zrušit přidružení IP adresy ze síťového rozhraní virtuálního počítače, vyberte ano . Po zrušení přidružení veřejné IP adresy ze síťového rozhraní ověřte, že už není uvedená v části Přidružené.

  4. Po zrušení přidružení IP adresy můžete prostředek veřejné IP adresy odstranit. V podokně Veřejné IP adresy virtuálního počítače v horní části stránky Přehled vyberte Odstranit.

  5. Pokud chcete odstranit veřejnou IP adresu, vyberte Ano .

Vyčištění prostředků

Po dokončení používání této aplikace odstraňte prostředky:

  1. Do vyhledávacího pole v horní části portálu zadejte název vaší skupiny prostředků. Jakmile se vaše skupina prostředků zobrazí ve výsledcích hledání, vyberte ji.
  2. Vyberte Odstranit skupinu prostředků.
  3. Zadejte název skupiny prostředků pro TYP NÁZEV SKUPINY PROSTŘEDKŮ a pak vyberte Odstranit.

Další kroky

V tomto kurzu jste nasadili Bastion do virtuální sítě a připojili se k virtuálnímu počítači. Pak jste z virtuálního počítače odebrali veřejnou IP adresu. V dalším kroku se dozvíte a nakonfigurujte další funkce Bastionu.

Nastavení konfigurace služby Azure Bastion

Připojení a funkce virtuálních počítačů

Konfigurace ochrany před útoky Azure DDos pro vaši virtuální síť