Teilen über

Tutorial: Bereitstellen von Azure Bastion mit bestimmten Einstellungen

  • Artikel

In diesem Tutorial können Sie die dedizierte Bereitstellung von Azure Bastion in Ihrem virtuellen Netzwerk über das Azure-Portal mithilfe der Einstellungen und SKU Ihrer Wahl konfigurieren. Die SKU bestimmt die Features und Verbindungen, die für Ihre Bereitstellung verfügbar sind. Weitere Informationen zu SKUs und Features finden Sie im Artikel zu den Konfigurationseinstellungen – SKUs. Nach der Bereitstellung von Bastion können Sie SSH oder RDP verwenden, um eine Verbindung mit virtuellen Computern im virtuellen Netzwerk über Bastion mithilfe der privaten IP-Adressen der virtuellen Computer herzustellen. Wenn Sie eine Verbindung mit einer VM herstellen, sind weder öffentliche IP-Adressen, Clientsoftware, Agents noch eine spezielle Konfiguration erforderlich.

Das folgende Diagramm zeigt die dedizierte Azure Bastion-Bereitstellungsarchitektur für dieses Tutorial. Im Gegensatz zur Entwickler-SKU-Architektur stellt eine dedizierte Bereitstellungsarchitektur einen dedizierten Bastionhost direkt in Ihrem virtuellen Netzwerk bereit.

Abbildung: Azure Bastion-Architektur

In den Schritten dieses Tutorials wird Bastion mithilfe der Standard-SKU über die dedizierte Bereitstellungsoption Manuell konfigurieren bereitgestellt. In diesem Tutorial passen Sie die Hostskalierung (Anzahl der Instanzen) an, die die Standard-SKU unterstützt. Wenn Sie eine niedrigere SKU für die Bereitstellung verwenden, können Sie die Hostskalierung nicht anpassen. Sie können auch eine Verfügbarkeitszone auswählen, abhängig von der Region, in der Sie bereitstellen möchten.

Nach Abschluss der Bereitstellung stellen Sie über eine private IP-Adresse eine Verbindung mit Ihrer VM her. Wenn Ihre VM über eine öffentliche IP-Adresse verfügt, die für keine anderen Zwecke benötigt wird, können Sie sie entfernen.

In diesem Tutorial lernen Sie Folgendes:

  • Stellen Sie Bastion in Ihrem virtuellen Netzwerk bereit.
  • Herstellen einer Verbindung mit einer VM.
  • Entfernen der öffentlichen IP-Adresse von einem virtuellen Computer

Voraussetzungen

Für dieses Tutorial benötigen Sie die folgenden Ressourcen:

  • Ein Azure-Abonnement. Falls Sie kein Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

  • Ein virtuelles Netzwerk, in dem Sie Bastion bereitstellen

  • Ein VM in einem virtuellen Netzwerk. Diese VM ist kein Teil der Bastion-Konfiguration und wird nicht zu einem Bastionhost. Sie stellen später in diesem Tutorial über Bastion eine Verbindung mit dieser VM her. Wenn Sie keine VM besitzen, erstellen Sie eine mithilfe von Schnellstart: Erstellen eines virtuellen Windows-Computers oder Schnellstart: Erstellen eines virtuellen Linux-Computers.

  • Erforderliche VM-Rollen:

    • Rolle „Leser“ auf dem virtuellen Computer
    • Rolle „Leser“ für den Netzwerkadapter (Network Interface Card, NIC) mit der privaten IP-Adresse des virtuellen Computers

  • Erforderliche Ports für eingehenden Datenverkehr:

    • Für Windows-VMs: RDP (3389)
    • Für Linux-VMs: SSH (22)

Hinweis

Die Verwendung von Azure Bastion mit privaten Azure DNS-Zonen wird unterstützt. Es gibt jedoch Einschränkungen. Weitere Informationen finden Sie in den häufig gestellten Fragen zu Azure Bastion.

Bereitstellen von Bastion

In diesem Abschnitt erfahren Sie, wie Sie Bastion in Ihrem virtuellen Netzwerk bereitstellen. Nach der Bereitstellung von Bastion können Sie mithilfe der privaten IP-Adresse eine sichere Verbindung mit jeder VM im virtuellen Netzwerk herstellen.

Wichtig

Die Stundenpreise gelten ab dem Zeitpunkt der Bereitstellung von Bastion, unabhängig von der Nutzung ausgehender Daten. Weitere Informationen dazu finden Sie unter Preise und SKUs. Wenn Sie Bastion im Rahmen eines Tutorials oder Tests bereitstellen, empfiehlt es sich, diese Ressource zu löschen, sobald Sie sie nicht mehr benötigen.

  1. Melden Sie sich beim Azure-Portal an.

  2. Navigieren Sie zu Ihrem virtuellen Netzwerk. Wählen Sie auf der Seite für Ihr virtuelles Netzwerk im linken Bereich Bastion aus. Diese Anweisungen treffen auch zu, wenn Sie Bastion über die Seite Ihres virtuellen Computers im Portal konfigurieren.

  3. Erweitern Sie im Bereich BastionDedizierte Bereitstellungsoptionen, um die Schaltfläche Manuell konfigurieren anzuzeigen. Möglicherweise müssen Sie zur Anzeige der Option zum Erweitern den Fensterinhalt verschieben.

  4. Wählen Sie Manuell konfigurieren aus. Mit dieser Option können Sie bestimmte zusätzliche Einstellungen (z. B. die SKU) beim Bereitstellen von Bastion in Ihrem virtuellen Netzwerk konfigurieren.

  5. Konfigurieren Sie auf der Seite Bastion-Instanz erstellen die Einstellungen für Ihren Bastionhost. Project Details werden mit den Werte Ihres virtuellen Netzwerks aufgefüllt. Konfigurieren Sie unter Details zur Instanz die folgenden Werte:

    Einstellung Wert
    Name Geben Sie den Namen an, den Sie für Ihre Bastion-Ressource verwenden möchten. Beispiel: VNet1-bastion.
    Region Wählen Sie die Region aus, in der sich Ihr virtuelles Netzwerk befindet.
    Verfügbarkeitszone Wählen Sie bei Bedarf die Zone(n) aus der Dropdownliste aus. Nur bestimmte Regionen werden unterstützt. Weitere Informationen finden Sie unter Was sind Verfügbarkeitszonen?.
    Tarif Wählen Sie für dieses Tutorial die SKU Standard aus. Informationen zu den für jede SKU verfügbaren Features finden Sie unter Konfigurationseinstellungen – SKU.
    Anzahl von Instanzen Konfigurieren Sie die Hostskalierung in Inkrementen von Skalierungseinheiten. Verwenden Sie den Schieberegler, oder geben Sie eine Zahl ein, um die gewünschte Anzahl der Instanzen zu konfigurieren, z. B. 3. Weitere Informationen finden Sie unter Instanzen und Hostskalierung und Azure Bastion – Preise.

  6. Konfigurieren Sie die Einstellungen der virtuellen Netzwerke. Wählen Sie in der Dropdownliste Ihr virtuelles Netzwerk aus. Wenn Ihr virtuelles Netzwerk in der Dropdownliste nicht angezeigt wird, stellen Sie sicher, dass Sie im vorherigen Schritt den richtigen Wert für die Region ausgewählt haben.

  7. Wenn Sie für Subnetz bereits ein Subnetz mit der Bezeichnung AzureBastionSubnet in Ihrem virtuellen Netzwerk konfiguriert haben, wird dieses automatisch im Portal ausgewählt. Andernfalls können Sie eines erstellen. Wählen Sie Subnetzkonfiguration verwalten aus, um das AzureBastionSubnet zu erstellen. Wählen Sie im Bereich Subnetze den Eintrag + Subnetz aus. Konfigurieren Sie die folgenden Werte, und wählen Sie anschließend Hinzufügen aus.

    Einstellung Wert
    Subnetzzweck Wählen Sie in der Dropdownliste die Option Azure Bastion aus. Dadurch wird angegeben, dass der Name AzureBastionSubnet ist.
    Startadresse Geben Sie die Startadresse für das Subnetz ein. Wenn Ihr Adressraum beispielsweise 10.1.0.0/16 ist, können Sie 10.1.1.0 für die Startadresse verwenden.
    Größe Das Subnetz muss mindestens /26 oder größer (z. B. /26, /25 oder /24) sein, damit die Features der Standard-SKU verfügbar sind.

  8. Wählen Sie oben im Bereich Subnetze mithilfe der Breadcrumb-Links die Option Bastion-Instanz erstellen aus, um zur Bastion-Konfigurationsseite zurückzukehren.

    Screenshot des Bereichs, in dem Azure Bastion-Subnetze aufgelistet sind.

  9. Im Abschnitt Öffentliche IP-Adresse konfigurieren Sie die öffentliche IP-Adresse der Bastionhost-Ressource für den RDP-/SSH-Zugriff (über Port 443). Konfigurieren Sie die folgenden Einstellungen:

    Einstellung Wert
    Öffentliche IP-Adresse Wählen Sie die Option Neu erstellen aus, um eine neue öffentliche IP-Adresse für die Bastion-Ressource zu erstellen. Sie können auch Vorhandene verwenden und eine vorhandene öffentliche IP-Adresse aus der Dropdownliste auswählen, wenn Sie bereits eine IP-Adresse erstellt haben, die die richtigen Kriterien erfüllt und noch nicht verwendet wird. Die öffentliche IP-Adresse muss sich in der gleichen Region befinden wie die Bastion-Ressource, die Sie erstellen.
    Name der öffentlichen IP-Adresse Geben Sie einen Namen für die öffentliche IP-Adresse an. Beispiel: VNet1-bastion-ip.
    SKU der öffentlichen IP-Adresse Die öffentliche IP-Adresse muss die Standard-SKU verwenden. Das Portal füllt diesen Wert automatisch aus.
    Zuweisung statischen
    Verfügbarkeitszone Zonenredundant (falls verfügbar)

  10. Wählen Sie nach Angabe der Einstellungen die Option Überprüfen + erstellen aus. In diesem Schritt werden die Werte überprüft.

  11. Nachdem die Werte überprüft wurden, können Sie Bastion bereitstellen. Wählen Sie Erstellen aus.

    Eine Meldung besagt, dass Ihre Bereitstellung in Bearbeitung ist. Der Status wird auf dieser Seite bei Erstellung der Ressourcen angezeigt. Die Erstellung und Bereitstellung der Bastion-Ressource dauert etwa 10 Minuten.

Herstellen einer Verbindung mit einem virtuellen Computer

Sie können einen der folgenden ausführlichen Artikel verwenden, um eine Verbindung mit einem virtuellen Computer herzustellen. Für einige Verbindungstypen ist die Standard-SKU für Bastion erforderlich.

Sie können auch die folgenden grundlegenden Verbindungsschritte ausführen, um eine Verbindung mit Ihrer VM herzustellen:

  1. Wechseln Sie im Azure-Portal zu dem virtuellen Computer, mit der Sie eine Verbindung herstellen möchten.

  2. Wählen Sie oben im Bereich Verbinden>Bastion aus, um zum Bereich Bastion zu gelangen. Sie gelangen auch über das linke Menü zum Bereich Bastion.

  3. Die im Bereich Bastion verfügbaren Optionen hängen von der Bastion-SKU ab.

    Wenn Sie die SKU Basic verwenden, stellen Sie über RDP und Port 3389 eine Verbindung mit einem Windows-Computer her. Stellen Sie für die SKU „Basic“ eine Verbindung mit einem Linux-Computer mithilfe von SSH und Port 22 her. Es gibt keine Möglichkeit, die Portnummer oder das Protokoll zu ändern. Sie können jedoch die Tastatursprache für RDP ändern, indem Sie die Verbindungseinstellungen in diesem Bereich erweitern.

    Wenn Sie die Standard-SKU verwenden, verfügen Sie über weitere Verbindungsprotokoll- und Portoptionen. Erweitern Sie Verbindungseinstellungen, um die Optionen anzuzeigen. In der Regel stellen Sie eine Verbindung mit einem Windows-Computer über RDP und Port 3389 her, sofern Sie keine anderen Einstellungen für Ihren virtuellen Computer konfiguriert haben. Sie stellen eine Verbindung mit einem Linux-Computer mithilfe von SSH und Port 22 her.

  4. Wählen Sie für Authentifizierungstypd en Authentifizierungstyp aus der Dropdownliste aus. Das Protokoll bestimmt die verfügbaren Authentifizierungstypen. Geben Sie die erforderlichen Authentifizierungswerte vollständig ein.

  5. Um die VM-Sitzung in einer neuen Browserregisterkarte zu öffnen, lassen Sie In neuer Browserregisterkarte öffnen aktiviert.

  6. Wählen Sie Verbinden aus, um die Verbindung zum virtuellen Computer herzustellen.

  7. Bestätigen Sie, dass die Verbindung mit der VM direkt im Azure-Portal (über HTML5) über Port 443 und den Bastion-Dienst geöffnet wird.

Tastenkombinationen während der Verbindung mit einem virtuellen Computer weisen möglicherweise ein anderes Verhalten als Tastenkombinationen auf einem lokalen Computer auf. Wenn Sie beispielsweise über einen Windows-Client eine Verbindung mit einer Windows-VM hergestellt haben, ist STRG+ALT+ENDE die Tastenkombination für STRG+ALT+ENTF auf einem lokalen Computer. Wenn Sie dieselbe Aktion auf einem Mac bei einer Verbindung mit einer Windows-VM ausführen möchten, lautet die Tastenkombination Fn+Control+Option+Löschen.

Aktivieren der Audioausgabe

Sie können die Remoteaudioausgabe für Ihren virtuellen Computer aktivieren. Einige VMs aktivieren diese Einstellung automatisch, andere erfordern, dass Sie Audioeinstellungen manuell aktivieren. Die Einstellungen werden auf dem virtuellen Computer selbst geändert. Ihre Bastion-Bereitstellung benötigt keine speziellen Konfigurationseinstellungen, um die Remoteaudioausgabe zu aktivieren.

Hinweis

Die Audioausgabe beansprucht eine gewisse Bandbreite Ihrer Internetverbindung.

So aktivieren Sie die Remoteaudioausgabe auf einem virtuellen Windows-Computer:

  1. Nachdem Sie eine Verbindung mit der VM hergestellt haben, wird in der rechten unteren Ecke der Symbolleiste eine Audioschaltfläche angezeigt. Klicken Sie mit der rechten Maustaste auf die Audioschaltfläche, und wählen Sie Sounds aus.
  2. Es wird ein Popupfenster mit der Frage angezeigt, ob Sie den Windows-Audiodienst aktivieren möchten. Wählen Sie Ja aus. Sie können weitere Audiooptionen unter Soundeinstellungen konfigurieren.
  3. Bewegen Sie den Mauszeiger über die Audioschaltfläche auf der Symbolleiste, um die Audioausgabe zu überprüfen.

Entfernen einer öffentlichen IP-Adresse eines virtuellen Computers

Wenn Sie über Azure Bastion eine Verbindung mit einer VM herstellen, benötigen Sie keine öffentliche IP-Adresse für Ihre VM. Wenn Sie die öffentliche IP-Adresse nicht für etwas anderes verwenden, können Sie ihre Zuordnung zu Ihrer VM wieder aufheben:

  1. Wechseln Sie zu Ihrer VM. Wählen Sie auf der Seite Übersicht die Option Öffentliche IP-Adresse aus, um die Seite „Öffentliche IP-Adresse“ zu öffnen.

  2. Navigieren Sie auf der Seite Öffentliche IP-Adresse zu Übersicht. Sie können die Ressource anzeigen, der diese IP-Adresse zugeordnet ist. Wählen Sie oben im Bereich Trennen aus.

  3. Wählen Sie Ja aus, um die Zuordnung der IP-Adresse zur VM-Netzwerkschnittstelle aufzuheben. Nachdem Sie die öffentliche IP-Adresse von der Netzwerkschnittstelle getrennt haben, vergewissern Sie sich, dass sie nicht mehr unter Zugeordnet zu aufgeführt wird.

  4. Nachdem Sie die Zuordnung der IP-Adresse aufgehoben haben, können Sie die öffentliche IP-Adressressource löschen. Wählen Sie im Bereich Öffentliche IP-Adresse für die VM oben auf der Seite Übersicht die Option Löschen aus.

  5. Wählen Sie Ja aus, um die öffentliche IP-Adresse zu löschen.

Bereinigen von Ressourcen

Wenn Sie diese Anwendung nicht mehr verwenden möchten, löschen Sie Ihre Ressourcen:

  1. Geben Sie den Namen Ihrer Ressourcengruppe in das Suchfeld am oberen Rand des Portals ein. Wenn Ihre Ressourcengruppe in den Suchergebnissen angezeigt wird, wählen Sie sie aus.
  2. Wählen Sie die Option Ressourcengruppe löschen.
  3. Geben Sie unter RESSOURCENGRUPPENNAMEN EINGEBEN den Namen Ihrer Ressourcengruppe ein, und wählen Sie dann Löschen aus.

Nächste Schritte

In diesem Tutorial haben Sie Bastion in einem virtuellen Netzwerk bereitgestellt und eine Verbindung mit einer VM hergestellt. Anschließend haben Sie die öffentliche IP-Adresse von der VM entfernt. Als Nächstes erfahren Sie mehr über weitere Bastion-Features und konfigurieren diese.

Azure Bastion-Konfigurationseinstellungen

VM-Verbindungen und -Features

Konfigurieren des Azure DDos-Schutzes für Ihr virtuelles Netzwerk