Jak Azure Bastion funguje?

  • 5 min

Nasazení služby Azure Bastion je vázané na virtuální síť nebo partnerskou virtuální síť. Není vázané na předplatné, účet ani virtuální počítač. Po zřízení služby Azure Bastion ve vaší virtuální síti je prostředí RDP nebo SSH k dispozici všem virtuálním počítačům ve stejné virtuální síti.

Následující diagram znázorňuje přehled fungování služby Azure Bastion při připojování přes portál:

  1. Připojíte se k virtuálnímu počítači na webu Azure Portal: Na webu Azure Portal na stránce přehledu virtuálního počítače vyberte Připojit>Bastion>Použít Bastion a pak zadejte svoje přihlašovací údaje pro virtuální počítač.
  2. Prohlížeč se připojí k hostiteli služby Azure Bastion: Prohlížeč se připojí ke službě Azure Bastion přes internet pomocí protokolu TLS (Transport Layer Security) a veřejné IP adresy hostitele služby Azure Bastion. Azure Gateway Manager spravuje připojení portálu ke službě Azure Bastion na portu 443 nebo 4443.
  3. Bastion se připojí k virtuálnímu počítači pomocí protokolu RDP nebo SSH: Azure Bastion se nasadí v samostatné podsíti s názvem AzureBastionSubnet v rámci virtuální sítě. Podsíť vytvoříte při nasazení služby Azure Bastion. Podsíť může mít adresní prostory s maskou podsítě /26 nebo větší. Do této podsítě nenasazujte další prostředky Azure ani neměňte její název.
  4. Bastion streamuje virtuální počítač do prohlížeče: Azure Bastion používá webového klienta založeného na HTML5, který se automaticky streamuje do místního zařízení. Služba Azure Bastion zabalí informace o relaci pomocí vlastního protokolu. Balíčky se přenášejí přes protokol TLS.

Ověření, že Azure Bastion pracuje se skupinou zabezpečení sítě

Pokud jste nenasadili a nenakonfigurovali konkrétní skupinu zabezpečení sítě pro vaši organizaci, nemusíte nic dělat. Azure Bastion pracuje s výchozí skupinou zabezpečení sítě, která je vytvořená pomocí virtuálních počítačů.

Pokud máte ve své organizaci nakonfigurovanou skupinu zabezpečení sítě, ověřte, zda se Azure Bastion může připojit k vašim virtuálním počítačům přes protokol RDP nebo SSH. Doporučujeme, abyste na virtuální počítače přidali příchozí pravidlo, které umožňuje připojení RDP a SSH k virtuálním počítačům z rozsahu IP adres podsítě Azure Bastion.

Aby služba Azure Bastion fungovala, musí vaše skupina zabezpečení sítě povolit následující provoz:

Směr Povolit
Příchozí Připojení RDP a SSH k podsíti virtuálního počítače z rozsahu IP adres podsítě Azure Bastion
Příchozí Přístup TCP z internetu na portu 443 k veřejné IP adrese služby Azure Bastion.
Příchozí Přístup TCP z Azure Gateway Manageru na portu 443 nebo 4443. Azure Gateway Manager spravuje připojení portálu ke službě Azure Bastion.
Odchozí Přístup TCP z platformy Azure na portu 443. Tento provoz se používá pro protokolování diagnostiky.

Nasazení hostitele služby Azure Bastion na webu Azure Portal

Než budete moct nasadit Azure Bastion, potřebujete virtuální síť. Při vytváření virtuální sítě můžete použít existující virtuální síť nebo nasadit Azure Bastion. Ve virtuální síti vytvořte podsíť s názvem AzureBastionSubnet. Pokud máte virtuální počítač, který je ve stejné nebo partnerské virtuální síti, dokončíte nasazení na webu Azure Portal výběrem možnosti Azure Bastion při připojení k virtuálnímu počítači.

Následující dvě části vám ukážou postup pro každou z možností nasazení služby Azure Bastion na webu Azure Portal. Zatím nemusíte provádět žádný z těchto kroků; Provedete to v dalším cvičení.

Povolení služby Azure Bastion při vytváření virtuální sítě

Pokud ještě nemáte virtuální síť, kterou chcete použít pro Azure Bastion, vytvořte virtuální síť a povolte Azure Bastion na kartě Zabezpečení.

Snímek obrazovky karty Zabezpečení, která umožňuje povolit a nakonfigurovat hostitele Azure Bastion v rámci pracovního postupu vytvoření virtuální sítě

  1. Vyberte Povolit a zadejte název hostitele služby Azure Bastion.
  2. Přidejte adresu podsítě s maskou podsítě /26 nebo větší.
  3. Pokud ještě nemáte veřejnou IP adresu, kterou chcete použít, vyberte Vytvořit novou.
  4. Po vytvoření virtuální sítě přidejte do této virtuální sítě virtuální počítače nebo vytvořte partnerský vztah virtuální sítě k virtuální síti s virtuálními počítači.

Přidání podsítě do existující virtuální sítě a zřízení prostředků Azure Bastion

Ve stávající virtuální síti přidejte podsíť s názvem AzureBastionSubnet.

Snímek obrazovky stránky pro přidání podsítě s názvem AzureBastionSubnet

Pokud chcete zřídit Azure Bastion, na portálu na virtuálním počítači vyberte Připojit>Bastion>Configure ručně. Zadejte název prostředku Azure Bastion, vyberte podsíť, vytvořte veřejnou IP adresu atd. Po nasazení služby Azure Bastion se můžete připojit k virtuálnímu počítači.

Snímek obrazovky se stránkou Vytvořit bastion s poli vyplněnými ve výchozím nastavení, jako je název prostředku Služby Azure Bastion, podsíť a vytvoření veřejné IP adresy

Nasazení služby Azure Bastion pomocí Azure PowerShellu nebo Azure CLI

Pokud chcete k nasazení služby Azure Bastion použít Azure PowerShell nebo Azure CLI, spusťte příkazy a vytvořte následující prostředky:

  • Podsíť
  • Veřejná IP adresa
  • Prostředek Azure Bastion

V následujících částech jsou uvedeny příklady, které můžete použít k nasazení služby Azure Bastion.

Nasazení služby Azure Bastion pomocí Azure PowerShellu

  1. Vytvořte podsíť Azure Bastion pomocí rutiny New-AzVirtualNetworkSubnetConfiga pak ji přidejte do existující virtuální sítě pomocí Add-AzVirtualNetworkSubnetConfig. Například následující příkaz předpokládá, že už máte virtuální síť:

    $subnetName = "AzureBastionSubnet"
$virtualNetwork = MyVirtualNetwork
$addressPrefix = "10.0.2.0/24"
$subnet = New-AzVirtualNetworkSubnetConfig ` 
-Name $subnetName ` 
-AddressPrefix $addressPrefix `

Add-AzVirtualNetworkSubnetConfig ` 
-Name $subnetName `
-VirtualNetwork $virtualNetwork `
-AddressPrefix $addressprefix

  2. Vytvořte veřejnou IP adresu pro Azure Bastion. Veřejnou IP adresu používá Azure Bastion k povolení připojení RDP/SSH přes port 443. Veřejná IP adresa musí být ve stejné oblasti jako prostředek Azure Bastion.

    $publicip = New-AzPublicIpAddress `
-ResourceGroupName "myBastionRG" `
-name "myPublicIP" `
-location "westus2" `
-AllocationMethod Static `
-Sku Standard

  3. Vytvořte prostředek Azure Bastion v podsíti s názvem AzureBastionSubnet ve vaší virtuální síti.

    $bastion = New-AzBastion `
-ResourceGroupName "myBastionRG" `
-Name "myBastion" `
-PublicIpAddress $publicip `
-VirtualNetwork $virtualNetwork

Nasazení služby Azure Bastion pomocí Azure CLI

  1. Vytvořte podsíť Azure Bastion:

    az network vnet subnet create \
  --resource-group myBastionRG \
  --vnet-name MyVirtualNetwork \
  --name AzureBastionSubnet \
  --address-prefixes 10.0.2.0/24

  2. Vytvořte veřejnou IP adresu pro Azure Bastion:

    az network public-ip create \
  --resource-group MyResourceGroup \
  --name MyPublicIp \
  --sku Standard \
  --location westus2

  3. Vytvoření prostředku Azure Bastion:

    az network bastion create \
  --name MyBastion \
  --public-ip-address MyPublicIp \
  --resource-group MyResourceGroup \
  --vnet-name MyVnet \
  --location westus2

Připojení k virtuálním počítačům pomocí služby Azure Bastion

Až budete mít všechny potřebné prostředky, měli byste být schopní připojit se k virtuálním počítačům ve stejné virtuální síti nebo partnerské virtuální síti. Na webu Azure Portal na virtuálním počítači vyberte Bastion a zadejte své přihlašovací údaje.

Screenshot stránky pro připojení pomocí služby Azure Bastion s výzvou k zadání uživatelského jména a typu ověřování

V další lekci si projdete postup nasazení služby Azure Bastion u existující virtuální sítě.