通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:使用指定的设置部署 Azure Bastion

  • 项目

借助本教程,你可以使用所选设置和 SKU 通过 Azure 门户配置到虚拟网络的 Azure Bastion 专用部署。 SKU 确定可用于部署的功能和连接。 有关 SKU 和功能的详细信息,请参阅配置设置 - SKU。 部署 Bastion 后,可以通过 Bastion 使用虚拟机 (VM) 的专用 IP 地址,使用 SSH 或 RDP 连接到虚拟网络中的 VM。 连接到 VM 时,不需要公共 IP 地址、客户端软件、代理或特殊配置。

下图显示了本教程的 Azure Bastion 专用部署体系结构。 与开发人员 SKU 体系结构不同,专用部署体系结构会将专用堡垒主机直接部署到虚拟网络。

显示 Azure Bastion 体系结构的图表。

本教程中的步骤使用标准 SKU 通过专用部署选项“手动配置”部署 Bastion。 在本教程中,请调整标准 SKU 支持的主机缩放(实例计数)。 如果将较低的 SKU 用于部署,则无法调整主机缩放。 你还可以根据要部署到的区域选择可用性区域。

部署完成后,通过专用 IP 地址连接到 VM。 如果 VM 具有你不需要其来执行任何其它操作的公共 IP 地址,可以将其删除。

本教程介绍如何执行下列操作:

  • 将 Bastion 部署到虚拟网络。
  • 连接到虚拟机。
  • 删除虚拟机中的公共 IP 地址。

先决条件

若要完成本教程,需要准备好以下资源:

  • Azure 订阅。 如果没有订阅,请在开始之前创建一个免费帐户

  • 一个虚拟网络,你要将 Bastion 部署到其中。

  • 虚拟网络中的虚拟机。 此 VM 不是 Bastion 配置的一部分,不会成为堡垒主机。 本教程稍后会通过 Bastion 连接到此 VM。 如果没有 VM,请使用快速入门:创建 Windows VM快速入门:创建 Linux VM 创建一个 VM。

  • 所需 VM 角色:

    • 虚拟机上的读者角色
    • 具有虚拟机专用 IP 的网络适配器(NIC)上的读取者角色

  • 所需的入站端口:

    • 适用于 Windows VM:RDP (3389)
    • 适用于 Linux VM:SSH (22)

注意

支持将 Azure Bastion 和 Azure 专用 DNS 区域一起使用。 但存在一些限制。 有关详细信息,请参阅《Azure Bastion 常见问题解答》。

部署 Bastion

本部分可帮助你将 Bastion 部署到虚拟网络。 部署 Bastion 后,可以使用其专用 IP 地址安全地连接到虚拟网络中的任意 VM。

重要

小时定价从部署 Bastion 的时刻开始计算,而无论出站数据使用情况如何。 有关详细信息,请参阅定价SKU。 如果要将 Bastion 部署为教程或测试的一部分,建议在使用完此资源后将其删除。

  1. 登录 Azure 门户

  2. 转到虚拟网络。 在虚拟网络的页面上,在左窗格中选择“Bastion”。 如果从门户中的虚拟机页面配置 Bastion,这些说明也适用。

  3. 在“Bastion”窗格上展开“专用部署选项,以显示“手动配置”按钮。 可能需要进行滚动才能看到可展开的选项。

  4. 选择“手动配置”。 此选项允许在将 Bastion 部署到虚拟网络时配置特定的其他设置(例如 SKU)。

  5. 在“创建 Bastion”页上,配置堡垒主机的设置。 使用虚拟网络值填充项目详细信息。 在“实例详细信息”下,配置以下值:

    设置
    名称 指定要用于 Bastion 资源的名称。 例如,“VNet1-bastion”。
    区域 选择虚拟网络所在的区域。
    可用性区域 视需要从下拉列表中选择区域。 仅支持某些区域。 有关详细信息,请参阅什么是可用性区域?
    对于本教程,请选择“标准”SKU。 有关每个 SKU 可用的功能的信息,请参阅配置设置 - SKU
    实例计数 以缩放单元增量配置主机缩放。 使用滑块或输入数字来配置想要的实例计数,例如 3。 有关详细信息,请参阅实例和主机缩放Azure Bastion 定价

  6. 配置“虚拟网络”设置。 从下拉列表中选择虚拟网络。 如果虚拟网络不在下拉列表中,请确保在上一步中选择了正确的“区域”值。

  7. 对于“子网”,如果你已在虚拟网络中配置了名为“AzureBastionSubnet”的子网,则系统会在门户中自动选择它。 如果没有子网,可以创建一个。 若要创建 AzureBastionSubnet,请选择“管理子网配置”。 在“子网”窗格中,选择“+子网”。 配置以下值,然后单击“添加”

    设置 “值”
    子网用途 从下拉列表中选择“Azure Bastion”。 这指定名称为“AzureBastionSubnet”
    开始地址 输入子网的起始地址。 例如,如果地址空间是 10.1.0.0/16,则可使用 10.1.1.0 作为起始地址。
    大小 子网必须为 /26 或更大(例如,/26、/25 或 /24),才能适应标准 SKU 提供的功能。

  8. 在“子网”窗格顶部,通过痕迹导航链接选择“创建 Bastion”,以返回到 Bastion 配置窗格

    列出 Azure Bastion 子网的窗格的屏幕截图。

  9. “公共 IP 地址”部分用于配置堡垒主机资源的公共 IP 地址,将在该地址上通过端口 443 访问 RDP/SSH。 配置下列设置:

    设置 “值”
    公共 IP 地址 选择“新建”,为 Bastion 资源创建新的公共 IP 地址。 如果你已创建符合适当条件且尚未使用的 IP 地址,也可选择“使用现有的”,然后从下拉列表中选择一个现有的公共 IP 地址。 公共 IP 地址必须与要创建的 Bastion 资源位于同一区域。
    公共 IP 地址名称 指定公共 IP 地址的名称。 例如,“VNet1-bastion-ip”。
    公用 IP 地址 SKU 公共 IP 地址必须使用标准 SKU。 门户会自动填充此值。
    分配 静态
    可用性区域 区域冗余(如果可用)

  10. 完成指定设置后,选择“查看 + 创建”。 此步骤验证值。

  11. 值通过验证后,可以部署 Bastion。 选择创建

    一条消息显示你的部署正在进行中。 创建资源后,此页面上将显示状态。 创建和部署 Bastion 资源大约需要 10 分钟的时间。

连接到 VM

可按照以下任何详细文章的说明连接到 VM。 有些连接类型需要 Bastion 标准 SKU

还可以使用以下基本连接步骤连接到 VM:

  1. Azure 门户中,转到要连接的虚拟机。

  2. 在窗格顶部,选择“连接”>“Bastion”,转到“Bastion”窗格。 还可以使用左侧菜单转到“Bastion”窗格。

  3. Bastion 窗格中提供的选项取决于 Bastion SKU。

    如果使用基本 SKU,请使用 RDP 和端口 3389 连接到 Windows 计算机。 对于基本 SKU,还可以使用 SSH 和端口 22 连接到 Linux 计算机。 没有用于更改端口号或协议的选项。 但是,可以通过在此窗格上展开“连接设置”更改 RDP 的键盘语言

    如果使用标准 SKU,有更多的连接协议和端口选项可用。 展开“连接设置”以查看选项。 通常,除非为 VM 配置了不同的设置,否则使用 RDP 和端口 3389 连接到 Windows 计算机。 使用 SSH 和端口 22 连接到 Linux 计算机。

  4. 对于“身份验证类型”,请从下拉列表中选择身份验证类型。 协议确定可用的身份验证类型。 填写所需的身份验证值。

  5. 若要在新浏览器选项卡中打开 VM 会话,请保持选中“在新浏览器选项卡中打开”

  6. 选择“连接”以连接到 VM。

  7. 使用端口 443 和 Bastion 服务确认直接在 Azure 门户中(通过 HTML5)打开与虚拟机的连接。

连接到 VM 时,使用键盘快捷键可能不会产生与使用本地计算机上的快捷键相同的行为。 例如,从 Windows 客户端连接到 Windows VM 时,CTRL+ALT+END 是本地计算机上 CTRL+ALT+Delete 的键盘快捷方式。 要在连接到 Windows VM 时从 Mac 执行此操作,键盘快捷方式为 fn+control+option+delete。

启用音频输出

可以为 VM 启用远程音频输出。 有些 VM 会自动启用此设置,而有些 VM 则要求手动启用音频设置。 这些设置是在 VM 本身上更改的。 Bastion 部署不需要任何特殊的配置设置来启用远程音频输出。

注意

音频输出会使用 Internet 连接上的带宽。

在 Windows VM 上启用远程音频输出:

  1. 连接到 VM 后,工具栏右下角会显示一个音频按钮。 右键单击音频按钮,然后选择“声音”
  2. 弹出消息询问是否要启用 Windows 音频服务。 选择。 可以在“声音首选项”中配置更多音频选项。
  3. 要验证声音输出,请将鼠标悬停在工具栏的音频按钮上。

移除 VM 公共 IP 地址

使用 Azure Bastion 连接到一个 VM 时,无需使用 VM 的公共 IP 地址。 如果不对任何其他内容使用公共 IP 地址,则可以将其与 VM 取消关联:

  1. 转到你的虚拟机。 在“概述”页上,单击“公共 IP 地址”打开“公共 IP 地址”页

  2. 在“公共 IP 地址”页上,转到“概述”。 可以查看此 IP 地址关联到的资源。 选择窗格顶部的“取消关联”

  3. 选择“是”,以将 IP 地址与 VM 网络接口取消关联。 将公共 IP 地址与网络接口取消关联后,请验证它是否不再列出在“关联到”下面。

  4. 解除 IP 地址关联后,可以删除公共 IP 地址资源。 在“概述”页面顶部,从 VM 的“公共 IP 地址”窗格中选择 “删除”。

  5. 选择“是”,以删除公共 IP 地址

清理资源

使用此应用程序后,请删除资源:

  1. 在门户顶部的“搜索”框中输入资源组的名称。 当资源组出现在搜索结果中时,请选择它。
  2. 选择“删除资源组”
  3. 在“键入资源组名称”输入资源组的名称,,然后选择“删除”

后续步骤

在本教程中,已将 Bastion 部署到虚拟网络并连接到 VM。 然后,从 VM 中删除公共 IP 地址。 接下来,了解和配置其他 Bastion 功能。

Azure Bastion 配置设置

VM 连接和功能

为虚拟网络配置 Azure DDos 防护