练习 - 使用 Azure Bastion 连接到虚拟机

已完成

在此单元中，你将创建一个虚拟机 (VM) 作为内部应用 VM，并部署 Azure Bastion 以连接到该 VM。

本练习为选做练习。 为完成本练习，需要访问 Azure 订阅，在该订阅中，你有权创建 VM 等资源。 如果没有 Azure 订阅，请在开始之前创建一个免费帐户。

创建资源组

创建一个资源组用于包含将为本练习创建的所有资源。

1. 登录到 Azure 门户。

2. 搜索或选择“资源组”。

3. 选择“创建”。 此时会显示“创建资源组”窗格。

4. 在“基本信息”选项卡上，为每个设置输入以下值。

   设置	值
   项目详细信息
   订阅	选择订阅
   资源组	learn-bastion-rg
   资源详细信息
   区域	选择你附近的区域

5. 选择“查看 + 创建”。 通过验证后，选择“创建”。

创建 VM

创建未向 Internet 公开的 Linux VM。

1. 在 Azure 门户中，搜索或选择“虚拟机”。

2. 选择“创建”，然后从下拉列表中选择“Azure 虚拟机”。 “创建虚拟机”窗格随即出现。

3. 在“基本信息”选项卡上，为每个设置输入以下值。 将其他设置保留为默认值。

   设置	值
   项目详细信息
   订阅	订阅
   资源组	learn-bastion-rg
   实例详细信息
   虚拟机名称	internalappvm
   区域	选择你附近的区域
   映像	Ubuntu Server 20.04 LTS - x64 Gen2
   管理员帐户
   用户名	azureuser
   SSH 公钥源	生成新密钥对
   密钥对名称	internalappvm_key
   内部端口规则
   公共入站端口	无

   对此选项卡上的其余设置使用默认值。

4. 选择“网络”选项卡，为每个设置输入以下值。 将其他设置保留为默认值。

   设置	值
   网络接口
   公共 IP	无
   公共入站端口	无

5. 选择“查看 + 创建”。 通过验证后，选择“创建”。 这会出现“生成新的密钥对”对话框。

6. 选择“下载私钥并创建资源”。

   

由于你创建了没有公共 IP 的内部应用 VM，因此无法通过 Internet 连接到该 VM。 让我们使用 Azure Bastion，而不是使用 jumpbox VM 连接到内部应用 VM。

为 Azure Bastion 创建子网

你需要在内部应用 VM 使用的虚拟网络上创建子网，然后才能使用 Azure Bastion。

1. 在 Azure 门户中，选择或搜索“资源组”。

2. 选择“learn-bastion-rg”。

3. 在资源列表中，选择虚拟网络“learn bastion-rg-vnet”。

4. 在左侧菜单窗格的“设置”下，选择“子网”。

5. 在顶部菜单栏中，选择“+ 子网”来添加一个子网。 此时将显示“添加子网”窗格。

6. 输入以下信息以创建新子网。

   字段	名称
   名称	AzureBastionSubnet
   子网地址范围	输入包含 /26 或更大（例如 /26、/25 等）的子网掩码的地址空间。 例如 10.0.1.0/24。

   使用其余字段的默认值。

   

7. 选择“保存”。

部署 Azure Bastion

1. 在 Azure 门户中，选择或搜索“虚拟机”。

2. 选择虚拟机 internalappvm。

3. 选择“连接”>“Bastion”>“部署 Bastion”。

   

等待几分钟，以创建 Azure Bastion 资源。

连接到内部应用 VM

1. 创建 Azure Bastion 资源后，系统会提示输入凭据以连接到该 VM。

2. 输入用户名 azureuser。

3. 在“身份验证类型”下拉列表中选择“来自本地文件的 SSH 私钥”。

4. 对于“本地文件”，请选择在创建 VM 时下载的 internalappvm_key.pem 文件。

   

5. 选择“连接”。

6. 在远程 shell 中，输入如下所示的 Linux 命令来更新系统。

   

   sudo apt-get -y update
   

7. 完成后，输入 exit。

下次需要连接到内部应用 VM 时，请转到虚拟机，选择“Bastion”并输入你的凭据。