Freigeben über


Bereitstellen von Bastion mit Azure PowerShell

In diesem Artikel wird gezeigt, wie Sie Azure Bastion mithilfe von PowerShell bereitstellen. Azure Bastion ist ein PaaS-Dienst, der für Sie verwaltet wird, kein Bastionhost, den Sie auf einer Ihrer VMs installieren und selbst verwalten. Eine Azure Bastion-Bereitstellung erfolgt pro virtuellem Netzwerk und nicht pro Abonnement/Konto oder virtuellem Computer. Weitere Informationen zu Azure Bastion finden Sie unter Was ist Azure Bastion?.

Nachdem Sie Bastion in Ihrem virtuellen Netzwerk bereitgestellt haben, können Sie über eine private IP-Adresse eine Verbindung mit Ihren VMs herstellen. Diese nahtlose RDP/SSH-Benutzererfahrung steht allen VMs innerhalb des gleichen virtuellen Netzwerks zur Verfügung. Wenn Ihre VM über eine öffentliche IP-Adresse verfügt, die für keine anderen Zwecke benötigt wird, können Sie sie entfernen.

Diagramm der Azure Bastion-Architektur

In diesem Artikel erstellen Sie ein virtuelles Netzwerk (sofern noch nicht vorhanden), stellen Azure Bastion mithilfe von PowerShell bereit und stellen eine Verbindung mit einem virtuellen Computer her. In den Beispielen wird Bastion mithilfe der Standard-SKU-Ebene bereitgestellt, Sie können jedoch je nach den Features, die Sie verwenden möchten, eine andere Bastion-SKU verwenden. Weitere Informationen finden Sie unter Bastion-SKUs.

Sie können Bastion auch mithilfe der folgenden anderen Methoden bereitstellen:

Hinweis

Die Verwendung von Azure Bastion mit privaten Azure DNS-Zonen wird unterstützt. Es gibt jedoch Einschränkungen. Weitere Informationen finden Sie in den häufig gestellten Fragen zu Azure Bastion.

Vorbereitungen

Stellen Sie sicher, dass Sie über ein Azure-Abonnement verfügen. Wenn Sie noch kein Azure-Abonnement besitzen, können Sie Ihre MSDN-Abonnentenvorteile aktivieren oder sich für ein kostenloses Konto registrieren.

PowerShell

In diesem Artikel werden PowerShell-Cmdlets verwendet. Um die Cmdlets auszuführen, können Sie Azure Cloud Shell verwenden. Cloud Shell ist eine kostenlose interaktive Shell, mit der Sie die Schritte in diesem Artikel ausführen können. Sie verfügt über allgemeine vorinstallierte Tools und ist für die Verwendung mit Ihrem Konto konfiguriert.

Wählen Sie in der oberen rechten Ecke eines Codeblocks einfach die Option Cloud Shell öffnen aus, um Cloud Shell zu öffnen. Sie können Cloud Shell auch auf einer separaten Browserregisterkarte öffnen, indem Sie zu https://shell.azure.com/powershell navigieren. Wählen Sie Kopieren aus, um die Codeblöcke zu kopieren. Fügen Sie die Blöcke anschließend in Cloud Shell ein, und drücken Sie die EINGABETASTE, um sie auszuführen.

Sie können die Azure PowerShell-Cmdlets auch lokal auf Ihrem Computer installieren und ausführen. PowerShell-Cmdlets werden regelmäßig aktualisiert. Wenn Sie nicht die aktuelle Version installiert haben, kann es bei Verwendung der in den Anweisungen angegebenen Werte zu Fehlern kommen. Verwenden Sie das Cmdlet Get-Module -ListAvailable Az, um die auf Ihrem Computer installierten Azure PowerShell-Versionen zu ermitteln. Informationen zum Installieren oder Aktualisieren finden Sie unter Installieren des Azure PowerShell-Moduls.

Beispielwerte

Sie können beim Erstellen dieser Konfiguration die folgenden Beispielwerte verwenden oder Ihre eigenen Werte einsetzen.

Beispiel-VNet- und VM-Werte:

Name Wert
Virtueller Computer TestVM
Ressourcengruppe TestRG1
Region USA, Osten
Virtuelles Netzwerk VNet1
Adressraum 10.1.0.0/16
Subnetze FrontEnd: 10.1.0.0/24

Azure Bastion-Werte:

Name Wert
Name VNet1-bastion
Subnetzname FrontEnd
Subnetzname AzureBastionSubnet
AzureBastionSubnet-Adressen Ein Subnetz innerhalb Ihres virtuellen Netzwerkadressraums mit einer Subnetzmaske /26 oder größer.
Beispiel: 10.1.1.0/26.
Tarif/SKU Standard
Öffentliche IP-Adresse Neu erstellen
Name der öffentlichen IP-Adresse VNet1-ip
SKU der öffentlichen IP-Adresse Standard
Abtretung Statisch

Bereitstellen von Bastion

Dieser Abschnitt hilft Ihnen, ein virtuelles Netzwerk und Subnetze zu erstellen sowie Azure Bastion mithilfe von Azure PowerShell bereitzustellen.

Wichtig

Die Stundenpreise gelten ab dem Zeitpunkt der Bereitstellung von Bastion, unabhängig von der Nutzung ausgehender Daten. Weitere Informationen dazu finden Sie unter Preise und SKUs. Wenn Sie Bastion im Rahmen eines Tutorials oder Tests bereitstellen, empfiehlt es sich, diese Ressource zu löschen, sobald Sie sie nicht mehr benötigen.

  1. Erstellen Sie eine Ressourcengruppe, ein virtuelles Netzwerk und ein Front-End-Subnetz, mit dem Sie die VMs bereitstellen, mit denen Sie eine Verbindung über Bastion herstellen werden. Öffnen Sie bei lokaler Ausführung von PowerShell Ihre PowerShell-Konsole mit erhöhten Rechten, und stellen Sie eine Verbindung mit Ihrem Konto her, indem Sie den Befehl Connect-AzAccount verwenden.

    New-AzResourceGroup -Name TestRG1 -Location EastUS ` 
    $frontendSubnet = New-AzVirtualNetworkSubnetConfig -Name FrontEnd `
    -AddressPrefix "10.1.0.0/24" ` 
    $virtualNetwork = New-AzVirtualNetwork `
    -Name TestVNet1 -ResourceGroupName TestRG1 `
    -Location EastUS -AddressPrefix "10.1.0.0/16" `
    -Subnet $frontendSubnet ` 
    $virtualNetwork | Set-AzVirtualNetwork
    
  2. Konfigurieren Sie das Azure Bastion-Subnetz für Ihr virtuelles Netzwerk und legen Sie es fest. Dieses Subnetz ist ausschließlich für Azure Bastion-Ressourcen reserviert. Sie müssen dieses Subnetz mit dem Namenswert AzureBastionSubnet erstellen. Dadurch weiß Azure, in welchem Subnetz die Bastion-Ressourcen bereitgestellt werden sollen. Das Beispiel im folgenden Abschnitt hilft Ihnen beim Hinzufügen eines Azure Bastion-Subnetzes zu einem vorhandenen VNet.

    • Die kleinste AzureBastionSubnet-Subnetzgröße, die Sie erstellen können, ist /26. Es wird empfohlen, mindestens die Größe /26 zu verwenden, um die Hostskalierung zu ermöglichen.
    • Erstellen Sie AzureBastionSubnet ohne Routentabellen oder Delegierungen.
    • Weitere Informationen zum Verwenden von Netzwerksicherheitsgruppen in AzureBastionSubnet finden Sie im Artikel Arbeiten mit Netzwerksicherheitsgruppen.

    Legen Sie die Variable fest.

    $vnet = Get-AzVirtualNetwork -Name "TestVNet1" -ResourceGroupName "TestRG1"
    

    Fügen Sie das Subnetz hinzu.

    Add-AzVirtualNetworkSubnetConfig `
    -Name "AzureBastionSubnet" -VirtualNetwork $vnet `
    -AddressPrefix "10.1.1.0/26" | Set-AzVirtualNetwork
    
  3. Erstellen Sie eine öffentliche IP-Adresse für Azure Bastion. Die öffentliche IP-Adresse ist die öffentliche IP-Adresse der Bastion-Ressource für den RDP-/SSH-Zugriff (über Port 443). Die öffentliche IP-Adresse muss sich in der gleichen Region befinden wie die Bastion-Ressource, die Sie erstellen.

    $publicip = New-AzPublicIpAddress -ResourceGroupName "TestRG1" `
    -name "VNet1-ip" -location "EastUS" `
    -AllocationMethod Static -Sku Standard
    
  4. Erstellen Sie im Azure Bastion-Subnetz mit dem Befehl New-AzBastion eine neue Azure Bastion-Ressource. Das folgende Beispiel verwendet die Basic-SKU. Sie können Bastion jedoch auch mithilfe einer anderen SKU bereitstellen, indem Sie den -Sku-Wert ändern. Die ausgewählte SKU bestimmt die Bastion-Features und stellt mithilfe weiterer Verbindungstypen eine Verbindung mit virtuellen Computern her. Weitere Informationen finden Sie unter Bastion-SKUs.

    New-AzBastion -ResourceGroupName "TestRG1" -Name "VNet1-bastion" `
    -PublicIpAddressRgName "TestRG1" -PublicIpAddressName "VNet1-ip" `
    -VirtualNetworkRgName "TestRG1" -VirtualNetworkName "TestVNet1" `
    -Sku "Basic"
    
  5. Die Bereitstellung der Bastion-Ressourcen dauert etwa 10 Minuten. Sie können im nächsten Abschnitt einen virtuellen Computer erstellen, während Bastion in Ihrem virtuellen Netzwerk bereitgestellt wird.

Erstellen einer VM

Sie können einen virtuellen Computer mithilfe der Artikel Schnellstart: Erstellen eines virtuellen Computers mithilfe von PowerShell oder Schnellstart: Erstellen eines virtuellen Computers über das Portal erstellen. Stellen Sie sicher, dass Sie die VM im gleichen virtuellen Netzwerk bereitstellen, in dem Sie Bastion bereitgestellt haben. Die von Ihnen in diesem Abschnitt erstellte VM ist kein Teil der Bastion-Konfiguration und wird nicht zu einem Bastionhost. Sie stellen später in diesem Tutorial über Bastion eine Verbindung mit dieser VM her.

Die folgenden Rollen sind für Ihre Ressourcen erforderlich.

  • Erforderliche VM-Rollen:

    • Rolle „Leser“ für den virtuellen Computer
    • Rolle „Leser“ für den Netzwerkadapter mit privater IP-Adresse des virtuellen Computers
  • Erforderliche Ports für eingehenden Datenverkehr:

    • Für Windows-VMs: RDP (3389)
    • Für Linux-VMs: SSH (22)

Herstellen einer Verbindung mit einem virtuellen Computer

Sie können die Verbindungsschritte im folgenden Abschnitt verwenden, um eine Verbindung mit Ihrer VM herzustellen. Sie können auch einen der folgenden Artikel verwenden, um eine Verbindung mit einem virtuellen Computer herzustellen. Für einige Verbindungstypen ist die Standard-SKU für Bastion erforderlich.

Verbindungsschritte

  1. Wechseln Sie im Azure-Portal zu dem virtuellen Computer, mit der Sie eine Verbindung herstellen möchten.

  2. Wählen Sie oben im Bereich Verbinden>Bastion aus, um zum Bereich Bastion zu gelangen. Sie gelangen auch über das linke Menü zum Bereich Bastion.

  3. Die im Bereich Bastion verfügbaren Optionen hängen von der Bastion-SKU ab. Wenn Sie die SKU „Basic“ verwenden, stellen Sie über RDP und Port 3389 eine Verbindung mit einem Windows-Computer her. Stellen Sie für die SKU „Basic“ eine Verbindung mit einem Linux-Computer mithilfe von SSH und Port 22 her. Es gibt keine Möglichkeit, die Portnummer oder das Protokoll zu ändern. Sie können jedoch die Tastatursprache für RDP ändern, indem Sie die Verbindungseinstellungen erweitern.

    Screenshot der Azure Bastion-Verbindungseinstellungen.

    Wenn Sie die Standard-SKU verwenden, verfügen Sie über weitere Verbindungsprotokoll- und Portoptionen. Erweitern Sie Verbindungseinstellungen, um die Optionen anzuzeigen. In der Regel stellen Sie eine Verbindung mit einem Windows-Computer über RDP und Port 3389 her, sofern Sie keine anderen Einstellungen für Ihren virtuellen Computer konfiguriert haben. Sie stellen eine Verbindung mit einem Linux-Computer mithilfe von SSH und Port 22 her.

    Screenshot der erweiterten Verbindungseinstellungen.

  4. Treffen Sie Ihre Auswahl für Authentifizierungstyp über die Dropdownliste. Das Protokoll bestimmt die verfügbaren Authentifizierungstypen. Geben Sie die erforderlichen Authentifizierungswerte vollständig ein.

    Screenshot des Dropdown-Listenfelds für den Authentifizierungstyp.

  5. Um die VM-Sitzung in einer neuen Browserregisterkarte zu öffnen, lassen Sie In neuer Browserregisterkarte öffnen aktiviert.

  6. Wählen Sie Verbinden aus, um die Verbindung zum virtuellen Computer herzustellen.

  7. Bestätigen Sie, dass die Verbindung mit der VM direkt im Azure-Portal (über HTML5) über Port 443 und den Bastion-Dienst geöffnet wird.

    Screenshot eines Computerdesktops mit einer offenen Verbindung über Port 443.

    Hinweis

    Wenn Sie die Verbindung herstellen, sieht der Desktop der VM anders aus als im Beispielscreenshot.

Tastenkombinationen während der Verbindung mit einer VM weisen möglicherweise ein anderes Verhalten als Tastenkombinationen auf einem lokalen Computer auf. Wenn Sie beispielsweise über einen Windows-Client eine Verbindung mit einer Windows-VM hergestellt haben, ist STRG+ALT+ENDE die Tastenkombination für STRG+ALT+ENTF auf einem lokalen Computer. Wenn Sie dieselbe Aktion auf einem Mac bei einer Verbindung mit einer Windows-VM ausführen möchten, lautet die Tastenkombination Fn+Control+Option+Löschen.

So aktivieren Sie die Audioausgabe

Sie können die Remoteaudioausgabe für Ihren virtuellen Computer aktivieren. Einige VMs aktivieren diese Einstellung automatisch, andere erfordern, dass Sie Audioeinstellungen manuell aktivieren. Die Einstellungen werden auf dem virtuellen Computer selbst geändert. Ihre Bastion-Bereitstellung benötigt keine speziellen Konfigurationseinstellungen, um die Remoteaudioausgabe zu aktivieren.

Hinweis

Die Audioausgabe beansprucht eine gewisse Bandbreite Ihrer Internetverbindung.

So aktivieren Sie die Remoteaudioausgabe auf einem virtuellen Windows-Computer:

  1. Nachdem Sie eine Verbindung mit der VM hergestellt haben, wird in der rechten unteren Ecke der Symbolleiste eine Audioschaltfläche angezeigt. Klicken Sie mit der rechten Maustaste auf die Audioschaltfläche, und wählen Sie Sounds aus.
  2. Es wird ein Popupfenster mit der Frage angezeigt, ob Sie den Windows-Audiodienst aktivieren möchten. Wählen Sie Ja aus. Sie können weitere Audiooptionen unter Soundeinstellungen konfigurieren.
  3. Bewegen Sie den Mauszeiger über die Audioschaltfläche auf der Symbolleiste, um die Audioausgabe zu überprüfen.

Entfernen einer öffentlichen IP-Adresse einer VM

Azure Bastion verwendet nicht die öffentliche IP-Adresse, um eine Verbindung mit dem virtuellen Clientcomputer herzustellen. Wenn Sie die öffentliche IP-Adresse für Ihre VM nicht benötigen, können Sie die Zuordnung der öffentlichen IP-Adresse aufheben. Mehr dazu finden Sie unter Trennen einer öffentlichen IP-Adresse von einem virtuellen Azure-Computer.

Nächste Schritte