Udostępnij za pośrednictwem

Tworzenie linku z możliwością udostępniania dla usługi Bastion

  • Artykuł

Funkcja Link do udostępniania usługi Bastion umożliwia użytkownikom łączenie się z zasobem docelowym (maszyną wirtualną lub zestawem skalowania maszyn wirtualnych) przy użyciu usługi Azure Bastion bez uzyskiwania dostępu do witryny Azure Portal. Ten artykuł ułatwia korzystanie z funkcji Link do udostępniania w celu utworzenia linku z możliwością udostępniania dla istniejącego wdrożenia usługi Azure Bastion.

Gdy użytkownik bez poświadczeń platformy Azure kliknie link do udostępniania, zostanie otwarta strona internetowa z monitem użytkownika o zalogowanie się do zasobu docelowego za pośrednictwem protokołu RDP lub SSH. Użytkownicy uwierzytelniają się przy użyciu nazwy użytkownika i hasła lub klucza prywatnego, w zależności od tego, co zostało skonfigurowane dla zasobu docelowego. Link do udostępniania nie zawiera żadnych poświadczeń — administrator musi podać poświadczenia logowania użytkownikowi.

Domyślnie użytkownicy w organizacji mają dostęp tylko do odczytu do udostępnionych linków. Jeśli użytkownik ma dostęp do odczytu , będzie mógł korzystać tylko z udostępnionych linków i wyświetlać je, ale nie może utworzyć ani usunąć linku z możliwością udostępniania. Aby uzyskać więcej informacji, zobacz sekcję Uprawnienia w tym artykule.

Kwestie wymagające rozważenia

  • Linki do udostępniania nie są obecnie obsługiwane w przypadku równorzędnych sieci wirtualnych między dzierżawami.
  • Linki do udostępniania nie są obecnie obsługiwane przez usługę Virtual WAN.
  • Linki do udostępniania nie obsługują połączenia z lokalnymi lub spoza platformy Azure maszynami wirtualnymi i zestawami skalowania maszyn wirtualnych.
  • Jednostka SKU w warstwie Standardowa jest wymagana dla tej funkcji.
  • Usługa Bastion obsługuje tylko 50 żądań, w tym tworzenie i usuwanie, w celu udostępniania linków jednocześnie.
  • Usługa Bastion obsługuje tylko 500 linków współużytkowalnych na zasób usługi Bastion.

Wymagania wstępne

  • Usługa Azure Bastion jest wdrażana w sieci wirtualnej. Aby uzyskać instrukcje, zobacz Samouczek — wdrażanie usługi Bastion przy użyciu ustawień ręcznych.

  • Usługa Bastion musi być skonfigurowana do używania jednostki SKU w warstwie Standardowa dla tej funkcji. Jednostkę SKU można zaktualizować z warstwy Podstawowa do Standardowa podczas konfigurowania funkcji łączy z możliwością udostępniania.

  • Sieć wirtualna, w której wdrożono zasób usługi Bastion lub bezpośrednio równorzędna sieć wirtualna, zawiera zasób maszyny wirtualnej, do którego chcesz utworzyć link do udostępniania.

Przed utworzeniem linku do udostępniania do maszyny wirtualnej należy najpierw włączyć tę funkcję.

  1. W witrynie Azure Portal przejdź do zasobu bastionu.

  2. Na stronie bastionu w okienku po lewej stronie kliknij pozycję Konfiguracja.

    Zrzut ekranu przedstawiający ustawienia konfiguracji z wybranym linkiem z możliwością udostępniania.

  3. Na stronie Konfiguracja w polu Warstwa wybierz pozycję Standardowa, jeśli nie została jeszcze wybrana. Ta funkcja wymaga jednostki SKU w warstwie Standardowa.

  4. Wybierz pozycję Udostępnij link z wymienionych funkcji, aby włączyć funkcję Link z możliwością udostępniania.

  5. Sprawdź, czy wybrano żądane ustawienia, a następnie kliknij przycisk Zastosuj.

  6. Usługa Bastion natychmiast rozpocznie aktualizowanie ustawień hosta bastionu. Aktualizacje potrwają około 10 minut.

W tej sekcji określisz każdy zasób, dla którego chcesz utworzyć link do udostępniania

  1. W witrynie Azure Portal przejdź do zasobu bastionu.

  2. Na stronie bastionu w okienku po lewej stronie kliknij pozycję Udostępnione linki. Kliknij pozycję + Dodaj, aby otworzyć stronę linku Utwórz z możliwością udostępniania.

    Zrzut ekranu przedstawiający stronę linków z możliwością udostępniania za pomocą polecenia + dodaj.

  3. Na stronie linku Tworzenie udostępnionego wybierz zasoby, dla których chcesz utworzyć link do udostępniania. Możesz wybrać określone zasoby lub wybrać wszystkie. Dla każdego wybranego zasobu jest tworzony oddzielny link do udostępniania. Kliknij przycisk Zastosuj , aby utworzyć łącza.

    Zrzut ekranu przedstawiający stronę linków z możliwością udostępniania w celu utworzenia linku z możliwością udostępniania.

  4. Po utworzeniu linków można je wyświetlić na stronie Linki z możliwością udostępniania. W poniższym przykładzie przedstawiono linki dla wielu zasobów. Zobaczysz, że każdy zasób ma oddzielny link, a stan łącza to Aktywny. Aby udostępnić link, skopiuj go, a następnie wyślij go do użytkownika. Link nie zawiera poświadczeń uwierzytelniania.

    Zrzut ekranu przedstawiający stronę linków z możliwością udostępniania, aby wyświetlić wszystkie dostępne linki zasobów.

Łączenie z maszyną wirtualną

  1. Po otrzymaniu linku użytkownik otworzy link w przeglądarce.

  2. W lewym rogu użytkownik może wybrać, czy tekst i obrazy zostaną skopiowane do schowka. Użytkownik wprowadza wymagane informacje, a następnie klika pozycję Zaloguj , aby nawiązać połączenie. Link udostępniony nie zawiera poświadczeń uwierzytelniania. Administrator musi podać poświadczenia logowania do użytkownika. Obsługiwane są niestandardowe porty i protokoły.

    Zrzut ekranu przedstawiający logowanie do bastionu przy użyciu linku do udostępniania w przeglądarce.

Uwaga

Jeśli link nie jest już w stanie zostać otwarty, oznacza to, że ktoś w twojej organizacji usunął ten zasób. Mimo że nadal będzie można zobaczyć linki udostępnione na liście, nie będzie już łączyć się z zasobem docelowym i doprowadzi do błędu połączenia. Możesz usunąć link udostępniony na liście lub zachować go do celów inspekcji.

  1. W witrynie Azure Portal przejdź do zasobu usługi Bastion —> linki do udostępniania.

  2. Na stronie Linki z możliwością udostępniania wybierz link zasobu, który chcesz usunąć, a następnie kliknij przycisk Usuń.

    Zrzut ekranu przedstawiający wybieranie linku do usunięcia.

Uprawnienia

Uprawnienia do funkcji Link z możliwością udostępniania są konfigurowane przy użyciu kontroli dostępu (IAM). Domyślnie użytkownicy w organizacji mają dostęp tylko do odczytu do udostępnionych linków. Jeśli użytkownik ma dostęp do odczytu , będzie mógł korzystać tylko z udostępnionych linków i wyświetlać je, ale nie może utworzyć ani usunąć łącza udostępnionego.

Aby nadać komuś uprawnienia do tworzenia lub usuwania łącza udostępnionego, wykonaj następujące kroki:

  1. W witrynie Azure Portal przejdź do hosta usługi Bastion.

  2. Przejdź do strony Kontrola dostępu (IAM).

  3. W sekcji Microsoft.Network/bastionHosts skonfiguruj następujące uprawnienia:

    • Inne: Tworzy udostępnione adresy URL dla maszyn wirtualnych w ramach bastionu i zwraca adresy URL.
    • Inne: Usuwa udostępnione adresy URL dla podanych maszyn wirtualnych w ramach bastionu.
    • Inne: Usuwa udostępnione adresy URL dla podanych tokenów w ramach bastionu.

    Odpowiadają one następującym poleceniom cmdlet programu PowerShell:

    • Microsoft.Network/bastionHosts/createShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinksByToken/action
    • Microsoft.Network/bastionHosts/getShareableLinks/action — jeśli to nie jest włączone, użytkownik nie będzie mógł wyświetlić linku z możliwością udostępniania.

Następne kroki