Поделиться через

Руководство по развертыванию Бастиона Azure с помощью указанных параметров

  • Статья

В этом руководстве показано, как настроить выделенное развертывание Бастиона Azure в виртуальной сети из портал Azure с помощью параметров и номера SKU. Номер SKU определяет функции и подключения, доступные для развертывания. Дополнительные сведения о номерах SKU и функциях см. в разделе "Параметры конфигурации" — номера SKU. После развертывания бастиона можно использовать SSH или RDP для подключения к виртуальным машинам (виртуальным машинам) в виртуальной сети с помощью бастиона с помощью частных IP-адресов виртуальных машин. При подключении к виртуальной машине не требуется общедоступный IP-адрес, клиентское программное обеспечение, агент или специальная конфигурация.

На следующей схеме показана архитектура выделенного развертывания Бастиона Azure для этого руководства. В отличие от архитектуры SKU разработчика, выделенная архитектура развертывания развертывает выделенный узел бастиона непосредственно в виртуальной сети.

Схема, демонстрирующая архитектуру Бастиона Azure.

Действия, описанные в этом руководстве, развертывают Бастион с помощью номера SKU уровня "Стандартный" с помощью параметра выделенного развертывания вручную. В этом руководстве описано, как настроить масштабирование узлов (число экземпляров), которое поддерживает номер SKU уровня "Стандартный". Если для развертывания используется более низкий номер SKU, вы не можете настроить масштабирование узлов. Вы также можете выбрать зону доступности в зависимости от региона, в котором требуется развернуть.

После завершения развертывания вы подключитесь к виртуальной машине, используя частный IP-адрес. Если общедоступный IP-адрес на виртуальной машине не требуется для других целей, его можно удалить.

В этом руководстве описано следующее:

  • Разверните бастион в виртуальной сети.
  • Подключение к виртуальной машине.
  • Удаление общедоступного IP-адреса из виртуальной машины.

Необходимые компоненты

Чтобы завершить работу с этим руководством, вам потребуются следующие ресурсы:

  • Подписка Azure. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начать работу.

  • Виртуальная сеть , в которую будет развернут Бастион.

  • Виртуальная машина в виртуальной сети. Эта виртуальная машина не является частью конфигурации Бастиона и не становится узлом-бастионом. Подключение к этой виртуальной машине через Бастион описано далее в этом руководстве. Если у вас нет виртуальной машины, создайте ее с помощью краткого руководства. Создание виртуальной машины Windows или краткого руководства. Создание виртуальной машины Linux.

  • Требуемые роли на виртуальной машине:

    • роль читателя на виртуальной машине;
    • Роль чтения в сетевом адаптере (сетевом адаптере) с частным IP-адресом виртуальной машины

  • Требуемые входящие порты:

    • Для виртуальных машин Windows: RDP (3389)
    • Для виртуальных машин Linux: SSH (22)

Примечание.

Использование Бастиона Azure с зонами Azure Частная зона DNS поддерживается. Однако существуют ограничения. Дополнительные сведения см. в часто задаваемых вопросы о Бастионе Azure.

Развертывание Бастиона

Этот раздел поможет развернуть Бастион в виртуальной сети. После развертывания Бастиона можно безопасно подключиться к любой виртуальной машине в виртуальной сети с помощью частного IP-адреса.

Внимание

Почасовая цена начинается с момента развертывания Бастиона независимо от использования исходящих данных. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.

  1. Войдите на портал Azure.

  2. Перейдите к виртуальной сети. На странице виртуальной сети в левой области выберите Бастион. Эти инструкции также будут работать, если вы настраиваете Бастион на странице виртуальной машины на портале.

  3. В области Бастиона разверните выделенные параметры развертывания, чтобы отобразить кнопку "Настройка вручную". Возможно, потребуется прокрутить страницу, чтобы просмотреть параметр для развертывания.

  4. Выберите "Настроить вручную". Этот параметр позволяет настроить определенные дополнительные параметры (например, номер SKU) при развертывании Бастиона в виртуальной сети.

  5. На панели "Создание бастиона" настройте параметры для узла бастиона. Сведения о проекте будут заполнены на основе значений для виртуальной сети. В разделе "Сведения об экземпляре" настройте следующие значения:

    Параметр Значение
    Имя. Укажите имя, которое вы хотите использовать для ресурса Бастиона. Например, vNet1-бастион.
    Область/регион Выберите регион, в котором находится виртуальная сеть.
    Availability zone При желании выберите зоны из раскрывающегося списка. Поддерживаются только определенные регионы. Дополнительные сведения см. в разделе "Что такое зоны доступности?"
    Уровень Для работы с этим руководством выберите SKU категории Стандартный. Сведения о функциях, доступных для каждого номера SKU, см. в разделе "Параметры конфигурации " SKU".
    Число экземпляров Настройте масштабирование узла в единицах масштабирования в единицах масштабирования. Используйте ползунок или введите число, чтобы настроить нужное число экземпляров, например 3. Дополнительные сведения см. в разделе "Экземпляры" и "Масштабирование узлов" и цены на бастион Azure.

  6. Настройте параметры виртуальных сетей. Выберите виртуальную сеть из раскрывающегося списка. Если виртуальная сеть отсутствует в раскрывающемся списке, убедитесь, что выбрано правильное значение региона на предыдущем шаге.

  7. Если у вас уже есть подсеть, настроенная в виртуальной сети с именем AzureBastionSubnet, она автоматически выбирается на портале. Если вы этого не сделали, его можно создать. Чтобы создать AzureBastionSubnet, выберите "Управление конфигурацией подсети". В области подсетей выберите +Подсеть. Настройте следующие значения, а затем добавьте.

    Параметр Значение
    Назначение подсети Выберите Бастион Azure в раскрывающемся списке. Это указывает, что имя — AzureBastionSubnet.
    Начальный адрес Введите начальный адрес подсети. Например, если адресное пространство равно 10.1.0.0/16, можно использовать 10.1.1.0 для начального адреса.
    Размер Подсеть должна быть /26 или больше (например, /26, /25 или /24) для размещения функций, доступных с номером SKU уровня "Стандартный".

  8. В верхней части области подсетей, используя ссылки на панели навигации , выберите "Создать бастион", чтобы вернуться в область конфигурации Бастиона .

    Снимок экрана: панель, в которую перечислены подсети Бастиона Azure.

  9. В разделе "Общедоступный IP-адрес" вы настраиваете общедоступный IP-адрес ресурса узла бастиона, к которому будет доступ RDP/SSH (через порт 443). Настройте следующие параметры:

    Параметр Значение
    Общедоступный IP-адрес Выберите "Создать" , чтобы создать новый общедоступный IP-адрес для ресурса Бастиона. Вы также можете выбрать существующий общедоступный IP-адрес в раскрывающемся списке, если у вас уже есть IP-адрес, соответствующий соответствующим критериям, и он еще не используется. Общедоступный IP-адрес должен находиться в том же регионе, что и создаваемый ресурс Бастиона.
    Имя общедоступного IP-адреса Укажите имя общедоступного IP-адреса. Например, VNet1-бастион-ip.
    Номер SKU общедоступного IP-адреса Общедоступный IP-адрес должен использовать номер SKU "Стандартный". Портал автоматически заполняет это значение.
    Передача прав и обязанностей Статические
    Availability zone Избыточность между зонами (при наличии)

  10. Завершив настройку параметров, выберите Просмотреть и создать. Этот шаг проверяет значения.

  11. После прохождения проверки значений можно развернуть Бастион. Нажмите кнопку создания.

    В сообщении говорится, что развертывание выполняется. Состояние отображается на этой странице при создании ресурсов. Для создания и развертывания ресурса Бастиона потребуется около 10 минут.

Подключение к виртуальной машине

Для подключения к виртуальной машине вы можете использовать любое из приведенных ниже подробных руководств. Для некоторых типов подключений требуется Бастион с номером SKU "Стандартный".

Для подключения к виртуальной машине можно также использовать следующие основные шаги подключения:

  1. На портале Azure перейдите к виртуальной машине, к которой необходимо подключиться.

  2. В верхней части области выберите "Подключить>бастион", чтобы перейти к области Бастиона. Вы также можете перейти в область Бастиона с помощью меню слева.

  3. Параметры, доступные на панели Бастиона, зависят от номера SKU Бастиона .

    Если вы используете базовый номер SKU, подключитесь к компьютеру с Windows с помощью RDP и порта 3389. Кроме того, для номера SKU уровня "Базовый" подключитесь к компьютеру Linux с помощью SSH и порта 22. Вы не можете изменить номер порта или протокол. Однако вы можете изменить язык клавиатуры для RDP, расширив параметры подключения на этой панели.

    Если вы используете номер SKU "Стандартный", доступны дополнительные параметры протокола подключения и порта. Разверните узел Параметры подключения, чтобы просмотреть варианты. Как правило, если для виртуальной машины не настроены разные параметры, подключение к компьютеру Windows с помощью RDP и порта 3389. Подключение к компьютеру Linux с помощью SSH и порта 22.

  4. Для типа проверки подлинности выберите тип проверки подлинности из раскрывающегося списка. Протокол определяет доступные типы проверки подлинности. Укажите необходимые значения проверки подлинности.

  5. Чтобы открыть сеанс виртуальной машины на новой вкладке браузера, оставьте "Открыть" на новой вкладке браузера.

  6. Выберите Подключиться, чтобы подключиться к виртуальной машине.

  7. Убедитесь, что подключение к виртуальной машине открывается непосредственно в портал Azure (через HTML5) с помощью порта 443 и службы Бастиона.

Использование сочетаний клавиш при подключении к виртуальной машине может привести к тому же поведению, что и сочетания клавиш на локальном компьютере. Например, при подключении к виртуальной машине Windows из клиента Windows сочетание клавиш CTRL+ALT+END — сочетание клавиш CTRL+ALT+DELETE на локальном компьютере. Для этого из Mac во время подключения к виртуальной машине Windows сочетание клавиш fn+control+option+delete.

Включение выходных данных звука

Вы можете включить удаленный аудиовыход для виртуальной машины. Некоторые виртуальные машины автоматически позволяют включить этот параметр, а другие — включить параметры звука вручную. Параметры можно изменить на самой виртуальной машине. В вашем развертывании Бастиона не нужно настраивать специальные параметры конфигурации для включения удаленного аудиовыхода.

Примечание.

Выходные данные звука используют пропускную способность для подключения к Интернету.

Чтобы включить удаленный аудиовыход на виртуальной машине Windows, сделайте следующее:

  1. После подключения к виртуальной машине на панели инструментов появится кнопка звука в правом нижнем углу панели инструментов. Щелкните правой кнопкой мыши звук и выберите "Звуки".
  2. Всплывающее сообщение запрашивает, нужно ли включить аудиослужбу Windows. Выберите Да. Дополнительные параметры звука можно настроить в параметрах звука.
  3. Чтобы проверить выходные данные звука, наведите указатель мыши на кнопку звука на панели инструментов.

Удаление общедоступного IP-адреса виртуальной машины

При подключении к виртуальной машине с помощью Бастиона Azure не требуется общедоступный IP-адрес для виртуальной машины. Если вы не используете общедоступный IP-адрес для других компонентов, вы можете отключить его от виртуальной машины:

  1. Перейдите на виртуальную машину. На странице обзора щелкните общедоступный IP-адрес, чтобы открыть страницу общедоступного IP-адреса.

  2. На странице общедоступного IP-адреса перейдите в раздел "Обзор". Вы можете просмотреть ресурс, с которым связан этот IP-адрес. Выберите "Отсообить" в верхней части области.

  3. Выберите "Да ", чтобы разъединить IP-адрес из сетевого интерфейса виртуальной машины. После разъединения общедоступного IP-адреса из сетевого интерфейса убедитесь, что он больше не указан в разделе "Связанные".

  4. После отмены связи с IP-адресом можно удалить ресурс общедоступного IP-адреса. В области общедоступных IP-адресов виртуальной машины в верхней части страницы обзора нажмите кнопку "Удалить".

  5. Выберите "Да" , чтобы удалить общедоступный IP-адрес.

Очистка ресурсов

Завершив работу с этим приложением, удалите ресурсы:

  1. В поле Поиск в верхней части портала введите имя группы ресурсов. Когда группа ресурсов появится в результатах поиска, выберите ее.
  2. Выберите команду Удалить группу ресурсов.
  3. Введите имя группы ресурсов для ТИПА ИМЕНИ ГРУППЫ РЕСУРСОВ и нажмите кнопку "Удалить".

Следующие шаги

В этом руководстве вы развернули Бастион в виртуальной сети и подключились к виртуальной машине. Затем вы удалили общедоступный IP-адрес из виртуальной машины. Далее вы узнаете о дополнительных функциях Бастиона и настройте их.

Параметры конфигурации Бастиона Azure

Подключения и функции виртуальных машин

Настройка защиты от атак DDos Azure для виртуальной сети