Настройка Бастиона для собственных клиентских подключений
В этой статье показано, как настроить развертывание Бастиона для приема подключений от собственного клиента (SSH или RDP) на локальном компьютере к виртуальным машинам, расположенным в виртуальной сети. Функция собственного клиента позволяет подключаться к целевым виртуальным машинам через Бастион с помощью Azure CLI и развертывать параметры входа, чтобы включить локальную пару ключей SSH и идентификатор Microsoft Entra. Кроме того, вы также можете отправлять или скачивать файлы в зависимости от типа подключения и клиента.
Эту функцию можно настроить, изменив существующее развертывание Бастиона или развернув Бастион с уже указанной конфигурацией компонентов. Возможности виртуальной машины при подключении через собственный клиент зависят от того, что включено в собственном клиенте.
Примечание.
Почасовая цена начинается с момента развертывания Бастиона независимо от использования исходящих данных. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.
Развертывание бастиона с помощью функции собственного клиента
Если вы еще не развернули Бастион в виртуальной сети, его можно развернуть с поддержкой собственного клиента, которая задается при развертывании Бастиона с настройкой вручную. Инструкции по развертыванию с использованием настроенных вручную параметров смотрите в руководстве Развертывание Бастиона. При развертывании Бастиона укажите следующие параметры.
На вкладке Основные сведения выберите для параметра Сведения об экземпляре —> Уровень значение Стандартный. Для поддержки собственного клиента требуется ценовая категория "Стандартный".
Перед созданием узла бастиона перейдите на вкладку "Дополнительно " и установите флажок для поддержки собственного клиента, а также флажки для всех других функций, которые требуется развернуть.
Выберите "Проверка и создание ", чтобы проверить, а затем нажмите кнопку "Создать ", чтобы развернуть узел Бастиона.
Изменение существующего развертывания Бастиона
Если вы уже развернули Бастион в виртуальной сети, измените следующие параметры конфигурации.
- Перейдите на страницу Конфигурация для ресурса Бастиона. Убедитесь, что указана ценовая категория Стандартный. Если это не так, выберите Стандартный.
- Установите флажок Поддержка собственного клиента и примените изменения.
Защита собственного подключения клиента
Если вы хотите дополнительно защитить собственное клиентское подключение, вы можете ограничить доступ к порту 22/3389 только через порт 22/3389. Чтобы ограничить доступ к портам, необходимо развернуть следующие правила NSG в AzureBastionSubnet, чтобы разрешить доступ к портам и запретить доступ из других портов.
Подключение к виртуальным машинам
После развертывания этой функции существуют различные инструкции по подключению в зависимости от компьютера узла, из которого вы подключаетесь, и клиентской виртуальной машины, к которой вы подключаетесь.
Используйте следующую таблицу, чтобы понять, как подключиться из собственных клиентов. Обратите внимание, что различные поддерживаемые сочетания собственных клиентов и целевых виртуальных машин позволяют использовать различные функции и требуют конкретных команд.
| Клиент | Целевая виртуальная машина | Способ | Проверка подлинности Microsoft Entra | Передача файлов | Одновременные сеансы виртуальной машины | Пользовательский порт |
|---|---|---|---|---|---|---|
| Собственный клиент Windows | виртуальная машина Windows; | RDP | Да | Отправка и скачивание | Да | Да |
| Виртуальная машина Linux | SSH | Да | No | Да | Да | |
| Любая виртуальная машина | az network бастион туннель | No | Отправить | No | No | |
| Собственный клиент Linux | Виртуальная машина Linux | SSH | Да | No | Да | Да |
| Windows или любая виртуальная машина | az network бастион туннель | No | Отправить | No | No | |
| Другой собственный клиент (клади) | Любая виртуальная машина | az network бастион туннель | No | Отправить | No | No |
Ограничения:
- Вход с помощью закрытого ключа SSH, хранящегося в Azure Key Vault, не поддерживается с этой функцией. Перед входом на виртуальную машину Linux с помощью пары ключей SSH скачайте закрытый ключ в файл на локальном компьютере.
- Подключение с помощью собственного клиента не поддерживается в Cloud Shell.