Condividi tramite

Esercitazione: Distribuire Azure Bastion usando le impostazioni specificate

  • Articolo

Questa esercitazione illustra come configurare la distribuzione dedicata di Azure Bastion nella rete virtuale dalla portale di Azure usando le impostazioni e lo SKU desiderati. Lo SKU determina le funzionalità e le connessioni disponibili per la distribuzione. Per altre informazioni sugli SKU e sulle funzionalità, vedere Impostazioni di configurazione - SKU. Dopo la distribuzione di Bastion, è possibile usare SSH o RDP per connettersi alle macchine virtuali nella rete virtuale tramite Bastion usando gli indirizzi IP privati delle macchine virtuali. Quando ci si connette a una macchina virtuale, non è necessario un indirizzo IP pubblico, un software client, un agente o una configurazione speciale.

Il diagramma seguente illustra l'architettura di distribuzione dedicata di Azure Bastion per questa esercitazione. A differenza dell'architettura dello SKU per sviluppatori, un'architettura di distribuzione dedicata distribuisce un bastion host dedicato direttamente nella rete virtuale.

Diagramma che mostra l'architettura di Azure Bastion.

I passaggi descritti in questa esercitazione distribuiscono Bastion usando lo SKU Standard tramite l'opzione di distribuzione dedicata Configura manualmente. In questa esercitazione viene modificato il ridimensionamento dell'host (numero di istanze) supportato dallo SKU Standard. Se si usa uno SKU inferiore per la distribuzione, non è possibile modificare il ridimensionamento dell'host. È anche possibile selezionare una zona di disponibilità, a seconda dell'area in cui si vuole distribuire.

Al termine della distribuzione, ci si connette alla macchina virtuale tramite l'indirizzo IP privato. Se la macchina virtuale ha un indirizzo IP pubblico che non è necessario per altre operazioni, è possibile rimuoverlo.

In questa esercitazione apprenderai a:

  • Distribuire Bastion nella rete virtuale.
  • Connettersi a una macchina virtuale.
  • Rimuovere l'indirizzo IP pubblico da una macchina virtuale.

Prerequisiti

Per completare questa esercitazione, sono necessarie queste risorse:

  • Una sottoscrizione di Azure. Se non se ne dispone, creare un account gratuito prima di iniziare.

  • Una rete virtuale in cui si distribuirà Bastion.

  • Una macchina virtuale nella rete virtuale. Questa macchina virtuale non fa parte della configurazione di Bastion e non diventa un bastion host. La connessione a questa macchina virtuale verrà eseguita più avanti in questa esercitazione tramite Bastion. Se non si ha una macchina virtuale, crearne una usando Avvio rapido: Creare una macchina virtuale Windows o Guida introduttiva: Creare una macchina virtuale Linux.

  • Ruoli VM richiesti:

    • Ruolo Lettore nella macchina virtuale
    • Ruolo lettore nella scheda di rete (NIC) con l'indirizzo IP privato della macchina virtuale

  • Porte in ingresso necessarie:

    • Per le macchine virtuali Windows: RDP (3389)
    • Per le macchine virtuali Linux: SSH (22)

Nota

L'uso di Azure Bastion con le zone di azure DNS privato è supportato. Esistono tuttavia restrizioni. Per altre informazioni, vedere Domande frequenti su Azure Bastion.

Distribuire Bastion

Questa sezione illustra come distribuire Bastion nella rete virtuale. Dopo la distribuzione di Bastion, è possibile connettersi in modo sicuro a qualsiasi macchina virtuale nella rete virtuale usando il relativo indirizzo IP privato.

Importante

La tariffa oraria inizia dal momento in cui viene distribuito Bastion, a prescindere dall'utilizzo dei dati in uscita. Per altre informazioni, vedere Prezzi e SKU. Se si distribuisce Bastion nel corso di un'esercitazione o di un test, è consigliabile eliminare questa risorsa dopo averla usata.

  1. Accedere al portale di Azure.

  2. Andare alla rete virtuale. Nella pagina della rete virtuale selezionare Bastion nel riquadro sinistro. Queste istruzioni funzioneranno anche se si sta configurando Bastion dalla pagina della macchina virtuale nel portale.

  3. Nel riquadro Bastion espandere Opzioni di distribuzione dedicate per visualizzare il pulsante Configura manualmente. Potrebbe essere necessario scorrere per visualizzare l'opzione da espandere.

  4. Selezionare Configura manualmente. Questa opzione consente di configurare impostazioni aggiuntive specifiche, ad esempio lo SKU, quando si distribuisce Bastion nella rete virtuale.

  5. Nel riquadro Crea bastion configurare le impostazioni per l'host bastion. I dettagli del progetto vengono popolati dai valori della rete virtuale. In Dettagli istanza configurare questi valori:

    Impostazione valore
    Name Specificare il nome da usare per la risorsa Bastion. Ad esempio, VNet1-bastion.
    Paese Selezionare l'area in cui risiede la rete virtuale.
    Zona di disponibilità Selezionare le zone dall'elenco a discesa, se necessario. Sono supportate solo determinate aree. Per altre informazioni, vedere Che cosa sono le zone di disponibilità?
    Livello Per questa esercitazione, selezionare lo SKU Standard. Per informazioni sulle funzionalità disponibili per ogni SKU, vedere Impostazioni di configurazione - SKU.
    Numero di istanze Configurare il ridimensionamento dell'host negli incrementi di unità di scala. Usare il dispositivo di scorrimento o immettere un numero per configurare il numero di istanze desiderato, ad esempio 3. Per altre informazioni, vedere Istanze e ridimensionamento dell'host e Prezzi di Azure Bastion.

  6. Configurare le impostazioni delle reti virtuali. Selezionare la rete virtuale dall'elenco a discesa. Se la rete virtuale non è presente nell'elenco a discesa, assicurarsi di aver selezionato il valore Area corretto nel passaggio precedente.

  7. Per Subnet, se nella rete virtuale è già configurata una subnet denominata AzureBastionSubnet, questa selezionerà automaticamente nel portale. In caso contrario, è possibile crearne uno. Per creare AzureBastionSubnet, selezionare Gestisci configurazione subnet. Nel riquadro Subnet selezionare +Subnet. Configurare i valori seguenti, quindi Aggiungi.

    Impostazione Valore
    Scopo della subnet Selezionare Azure Bastion nell'elenco a discesa. Specifica che il nome è AzureBastionSubnet.
    Indirizzo iniziale Immettere l'indirizzo iniziale per la subnet. Ad esempio, se lo spazio indirizzi è 10.1.0.0/16, è possibile usare 10.1.1.0 per l'indirizzo iniziale.
    Dimensione La subnet deve essere /26 o superiore ,ad esempio /26, /25 o /24, per supportare le funzionalità disponibili con lo SKU Standard.

  8. Nella parte superiore del riquadro Subnet , usando i collegamenti di navigazione, selezionare Crea un bastion per tornare al riquadro di configurazione bastion.

    Screenshot del riquadro che elenca le subnet di Azure Bastion.

  9. La sezione Indirizzo IP pubblico consente di configurare l'indirizzo IP pubblico della risorsa host bastion a cui si accederà RDP/SSH (sulla porta 443). Configurare le impostazioni seguenti:

    Impostazione Valore
    Indirizzo IP pubblico Selezionare Crea nuovo per creare un nuovo indirizzo IP pubblico per la risorsa Bastion. È anche possibile selezionare Usa esistente e selezionare un indirizzo IP pubblico esistente nell'elenco a discesa se si dispone già di un indirizzo IP creato che soddisfa i criteri appropriati e non è già in uso. L'indirizzo IP pubblico deve trovarsi nella stessa area della risorsa Bastion che si sta creando.
    Nome indirizzo IP pubblico Specificare un nome per l'indirizzo IP pubblico. Ad esempio, VNet1-bastion-ip.
    SKU indirizzo IP pubblico L'indirizzo IP pubblico deve usare lo SKU Standard . Il portale riempie automaticamente questo valore.
    Assegnazione Statico
    Zona di disponibilità Ridondanza della zona (se disponibile)

  10. Dopo aver finito di specificare le impostazioni, selezionare Rivedi e crea. Questo passaggio convalida i valori.

  11. Dopo aver superato la convalida dei valori, è possibile distribuire Bastion. Selezionare Crea.

    Un messaggio indica che la distribuzione è in corso. Lo stato viene visualizzato in questa pagina durante la creazione delle risorse. La creazione e la distribuzione della risorsa di Bastion richiedono circa 10 minuti.

Connettersi a una macchina virtuale

Per connettersi a una macchina virtuale, è possibile usare uno degli articoli dettagliati seguenti. Alcuni tipi di connessione richiedono lo SKU Bastion Standard.

È anche possibile usare questi passaggi di connessione di base per connettersi alla macchina virtuale:

  1. Nel portale di Azure, passare alla macchina virtuale a cui ci si vuole connettere.

  2. Nella parte superiore del riquadro selezionare Connetti>Bastion per passare al riquadro Bastion . È anche possibile passare al riquadro Bastion usando il menu a sinistra.

  3. Le opzioni disponibili nel riquadro Bastion dipendono dallo SKU Bastion .

    Se si usa lo SKU Basic, ci si connette a un computer Windows usando RDP e la porta 3389. Anche per lo SKU Basic, ci si connette a un computer Linux usando SSH e la porta 22. Non sono disponibili opzioni per modificare il numero di porta o il protocollo. Tuttavia, è possibile modificare la lingua della tastiera per RDP espandendo Impostazioni di connessione in questo riquadro.

    Se si usa lo SKU Standard, sono disponibili più opzioni di protocollo di connessione e porta. Espandere Impostazioni di connessione per visualizzare le opzioni. In genere, a meno che non si configurino impostazioni diverse per la macchina virtuale, ci si connette a un computer Windows usando RDP e la porta 3389. Connettersi a un computer Linux usando SSH e la porta 22.

  4. Per Tipo di autenticazione selezionare il tipo di autenticazione dall'elenco a discesa. Il protocollo determina i tipi di autenticazione disponibili. Completare i valori di autenticazione necessari.

  5. Per aprire la sessione di macchina virtuale in una nuova scheda del browser, lasciare selezionata l'opzione Apri nella nuova scheda del browser.

  6. Selezionare Connetti per connettersi alla macchina virtuale.

  7. Verificare che la connessione alla macchina virtuale si apra direttamente nel portale di Azure (su HTML5) usando la porta 443 e il servizio Bastion.

L'uso dei tasti di scelta rapida mentre si è connessi a una macchina virtuale potrebbe non comportare lo stesso comportamento dei tasti di scelta rapida in un computer locale. Ad esempio, quando si è connessi a una macchina virtuale Windows da un client Windows, CTRL+ALT+FINE è il tasto di scelta rapida per CTRL+ALT+CANC in un computer locale. A tale scopo da un Mac mentre si è connessi a una macchina virtuale Windows, il tasto di scelta rapida è fn+control+option+delete.

Abilitare l'output audio

È possibile abilitare l'output audio remoto per la macchina virtuale. Alcune macchine virtuali abilitano automaticamente questa impostazione, mentre altre richiedono l'abilitazione manuale delle impostazioni audio. Le impostazioni vengono modificate nella macchina virtuale stessa. La distribuzione di Bastion non richiede impostazioni di configurazione speciali per abilitare l'output audio remoto.

Nota

L'output audio usa la larghezza di banda nella connessione Internet.

Per abilitare l'output audio remoto in una macchina virtuale Windows:

  1. Dopo la connessione alla macchina virtuale, viene visualizzato un pulsante audio nell'angolo in basso a destra della barra degli strumenti. Fare clic con il pulsante destro del mouse sul pulsante audio e quindi scegliere Suoni.
  2. Un messaggio popup chiede se si vuole abilitare il servizio audio di Windows. Selezionare . È possibile configurare più opzioni audio nelle preferenze audio.
  3. Per verificare l'output audio, passare il puntatore del mouse sul pulsante audio sulla barra degli strumenti.

Rimuovere l'indirizzo IP pubblico di una macchina virtuale

Quando ci si connette a una macchina virtuale usando Azure Bastion, non è necessario un indirizzo IP pubblico per la macchina virtuale. Se non si usa l'indirizzo IP pubblico per altri elementi, è possibile annullare l'dissociazione dalla macchina virtuale:

  1. Passare alla macchina virtuale. Nella pagina Panoramica fare clic sull'indirizzo IP pubblico per aprire la pagina Indirizzo IP pubblico.

  2. Nella pagina Indirizzo IP pubblico passare a Panoramica. È possibile visualizzare la risorsa a cui è associato questo indirizzo IP. Selezionare Dissocia nella parte superiore del riquadro.

  3. Selezionare Sì per annullare l'dissociazione dell'indirizzo IP dall'interfaccia di rete della macchina virtuale. Dopo aver dissociato l'indirizzo IP pubblico dall'interfaccia di rete, verificare che non sia più elencato in Associato a.

  4. Dopo aver dissociato l'indirizzo IP, è possibile eliminare la risorsa indirizzo IP pubblico. Nel riquadro Indirizzo IP pubblico per la macchina virtuale selezionare Elimina nella parte superiore della pagina Panoramica.

  5. Selezionare per eliminare l'indirizzo IP pubblico.

Pulire le risorse

Al termine dell'uso di questa applicazione, eliminare le risorse:

  1. Immettere il nome del gruppo di risorse nella casella Cerca nella parte superiore del portale. Quando il gruppo di risorse viene visualizzato nei risultati della ricerca, selezionarlo.
  2. Selezionare Elimina gruppo di risorse.
  3. Immettere il nome del gruppo di risorse per DIGITARE IL NOME DEL GRUPPO DI RISORSE e quindi selezionare Elimina.

Passaggi successivi

In questa esercitazione Bastion è stato distribuito in una rete virtuale e si è connessi a una macchina virtuale. È stato quindi rimosso l'indirizzo IP pubblico dalla macchina virtuale. Informazioni su e configurare altre funzionalità bastion.

Impostazioni di configurazione di Azure Bastion

Connessioni e funzionalità delle macchine virtuali

Configurare la protezione DDos di Azure per la rete virtuale