教學課程：使用指定的設定來部署 Bastion

本教學課程可協助您使用您選擇的設定和 SKU，從 Azure 入口網站 設定 Azure Bastion 的專用部署至虛擬網路。 SKU 會決定可供部署使用的功能和連線。 如需 SKU 和功能的詳細資訊，請參閱 組態設定 - SKU。 部署 Bastion 之後，您可以運用 SSH 或 RDP，使用 VM 的私人 IP 位址，透過 Bastion 與虛擬網路中的虛擬機器 (VM) 連線。 連線至 VM 時，不需要公用 IP 位址、用戶端軟體、代理程式或特殊設定。

下圖顯示本教學課程的 Azure Bastion 專用部署 架構 。 不同於開發人員 SKU 架構，專用部署架構會將專用防禦主機直接部署至您的虛擬網路。

本教學課程中的步驟會透過手動設定專用部署選項，使用標準 SKU 部署 Bastion。 在本教學課程中，您會調整標準 SKU 支援的主機調整 （實例計數）。 如果您使用較低的 SKU 進行部署，則無法進行主機規模調整。 您也可以根據您要部署的區域來選取可用性區域。

部署完成後，您可以透過私人 IP 位址連線到 VM。 如果您完全不需要 VM 的公用 IP 位址，移除即可。

在本教學課程中，您會了解如何：

• 將 Bastion 部署至虛擬網路。
• 連線至虛擬機器。
• 從虛擬機器移除公用 IP 位址。

必要條件

若要完成本教學課程，您需要下列資源：

• Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶，請在開始前建立免費帳戶。

• 您要在其中部署 Bastion 的虛擬網路。

• 虛擬網路中的虛擬機器。 此 VM 不是 Bastion 設定的一部分，也不會成為堡壘主機。 稍後，您會在本教學課程中透過 Bastion 連線到此 VM。 如果您還沒有 VM，則請使用快速入門：建立 Windows VM 或快速入門：建立 Linux VM 來建立 VM。

• 所需的 VM 角色：

  • 虛擬機器上的讀者角色
  • 虛擬機器的私人 IP 位址與網路介面卡 (NIC) 上的讀取者角色

• 必要輸入連接埠：

  • 針對 Windows VM：RDP (3389)
  • 針對 Linux VM：SSH (22)

注意

支援將 Bastion 與 Azure 私人 DNS 區域一起使用。 但是會有一些限制。 如需詳細資訊，請參閱 Azure Bastion 常見問題集。

部署 Bastion

本節可協助您將 Bastion 部署到虛擬網路。 部署 Bastion 之後，您可以使用其私人 IP 位址安全地連線到虛擬網路中的任何 VM。

重要

無論輸出資料使用量為何，每小時價格都是從部署 Bastion 的那一刻開始計費。 如需詳細資訊，請參閱價格和 SKU。 如果您要將 Bastion 部署為教學課程或測試的一部份，建議您在使用完畢後刪除此資源。

1. 登入 Azure 入口網站。

2. 移至您的虛擬網路。 在虛擬網路頁面的左窗格中，選取 [Bastion]。 如果您要從入口網站中的虛擬機頁面設定 Bastion，這些指示也會運作。

3. 在 [ Bastion ] 窗格中，展開 [專用部署選項 ] 以顯示 [ 手動 設定] 按鈕。 您可能需要捲動以查看展開的選項。

4. 選取 [手動設定]。 此選項可讓您在將 Bastion 部署至虛擬網路時，進行具體的其他設定 (例如 SKU)。

5. 在 [建立 Bastion] 窗格上，進行堡壘主機的設定。 專案詳細資料會從您的虛擬網路值填入。 在 [執行個體詳細資料] 底下，設定這些值：

   設定	值
   名稱	指定您要用於 Bastion 資源的名稱。 例如， VNet1 防禦。
   區域	選取虛擬網路所在的區域。
   可用性區域	如有需要，請從下拉式清單中選取區域。 僅支援特定區域。 如需詳細資訊，請參閱 什麼是可用性區域？
   層	在本教學課程中，請選取標準 SKU。 如需每個 SKU 可用功能的相關資訊，請參閱設定 - SKU。
   執行個體計數	以縮放單位增量設定主機調整。 使用滑桿或輸入數位來設定您想要的實例計數，例如 3。 如需詳細資訊，請參閱執行個體和主機規模調整和 Bastion 價格。

6. 進行 [虛擬網路] 設定。 從挑選清單中，選取虛擬網路。 如果您在挑選清單中沒看到虛擬網路，請確定您已在上一步中選取正確的區域值。

7. 針對 子網，如果您已在名為 AzureBastionSubnet 的虛擬網路中設定子網，它會自動在入口網站中選取。 如果沒有，您可以建立一個。 若要建立 AzureBastionSubnet，請選取 [ 管理子網組態]。 在 [子網路] 窗格中，選取 [+子網路]。 設定下列值，然後 設定 [新增]。

   設定	值
   子網路用途	從下拉式清單中選取 [Azure Bastion ]。 這會指定名稱為 AzureBastionSubnet。
   起始位址	輸入子網的起始位址。 例如，如果您的位址空間是 10.1.0.0/16，則可以針對起始位址使用 10.1.1.0 。
   大小	子網必須是 /26 或更大（例如 /26、/25 或 /24），以容納標準 SKU 可用的功能。

8. 在 [子網] 窗格頂端，使用階層鏈接，選取 [建立 Bastion] 以返回 Bastion 組態窗格。

   

9. [公用 IP 位址] 區段是設定 Bastion 主機資源公用 IP 位址的位置，而會透過此 IP 位址存取 RDP/SSH (透過連接埠 443)。 設定下列設定：

   設定	值
   公用 IP 位址	選取 [新建 ] 以建立 Bastion 資源的新公用 IP 位址。 如果您已經建立符合適當準則且尚未使用中的IP位址，您也可以從下拉式清單中選取 [使用現有 ]，然後從下拉式清單中選取現有的公用IP位址。 公用 IP 位址與您建立的 Bastion 資源必須位於相同的區域。
   公用 IP 位址名稱	指定公用IP位址名稱。 例如， VNet1-bastion-ip。
   公用 IP 位址 SKU	公用IP位址必須使用 標準 SKU。 入口網站會自動填入此值。
   指派	靜態
   可用性區域	區域備援（如果有的話）

10. 當您完成設定的指定後，請選取 [檢閱 + 建立]。 這個步驟會驗證這些值。

11. 值通過驗證之後，您就可以部署 Bastion。 選取 建立。

    訊息會指出部署正在進行中。 資源建立時，狀態會出現在此頁面上。 建立和部署 Bastion 資源約需要 10 分鐘的時間。

連線至 VM

您可以參閱下列任何連線 VM 的說明文章。 某些連線類型需要 Bastion 標準 SKU。

• 連線至 Windows VM
  • RDP
  • SSH
• 連線至 Linux VM
  • SSH
• 連線到擴展集
• 透過 IP 位址連線
• 從原生用戶端連線
  • Windows 用戶端
  • Linux/SSH 用戶端

您也可以使用這些基本的連線步驟來連線至 VM：

1. 在 Azure 入口網站中，前往您要連線的虛擬機器。

2. 在窗格頂端，選取 [連線] > [Bastion]，以前往 [Bastion] 窗格。 您也可以使用左側功能表來移至 [Bastion] 窗格。

3. [Bastion] 窗格上可用的選項取決於 Bastion SKU。

   如果您使用 基本 SKU，請使用 RDP 和埠 3389 連線到 Windows 電腦。 此外，若是基本 SKU，請使用 SSH 和連接埠 22 連線至 Linux 電腦。 沒有選項可讓您變更連接埠號碼或通訊協定。 不過，您可以展開 此窗格上的 [連線設定 ] 來變更 RDP 的鍵盤語言。

   如果您使用標準 SKU，即可使用更多的連線通訊協定和連接埠選項。 展開 [連線設定] 以查看選項。 一般而言，除非您針對 VM 進行不同的設定，否則請使用 RDP 和連接埠 3389 連線至 Windows 電腦。 使用 SSH 和連接埠 22 連線至 Linux 電腦。

4. 針對 [ 驗證類型]，從下拉式清單中選取驗證類型。 通訊協定會決定可用的驗證類型。 完成必要的驗證值。

5. 若要在新瀏覽器索引標籤中開啟 VM 工作階段，請將 [在新瀏覽器索引標籤中開啟] 保持選取。

6. 選取 [連線] 以連線至 VM。

7. 透過使用連接埠 443 和 Bastion 服務，確認與此虛擬機器的連線直接在 Azure 入口網站中開啟 (透過 HTML5)。

連線到 VM 之後使用鍵盤快速鍵時，效果可能與本機電腦上的快速鍵不同。 例如，從 Windows 用戶端連線到 Windows VM 時，Ctrl+Alt+End 是本機電腦上的 Ctrl+Alt+Delete 鍵盤快速鍵。 若要在連線到 Windows VM 時從 Mac 執行此動作，鍵盤快捷方式是 fn+control+option+delete。

啟用音訊輸出

您可以為 VM 啟用遠端音訊輸出。 有些 VM 會自動啟用此設定，而有些需要您手動啟用音訊設定。 設定變更是在 VM 本身。 Bastion 部署不需要任何特殊設定，即可啟用遠端音訊輸出。

注意

音訊輸出會使用網際網路連線上的頻寬。

若要在 Windows VM 上啟用遠端音訊輸出：

1. 連線至 VM 後，音訊按鈕會出現在工具列的右下角。 以滑鼠右鍵按一下音訊按鈕，然後選取 [音效]。
2. 快顯訊息會詢問您是否要啟用 Windows 音訊服務。 選取 [是]。 您可以在 [音效喜好設定] 中設定更多音訊選項。
3. 若要確認音效輸出，請將滑鼠停留在工具列上的音訊按鈕。

移除 VM 的公用 IP 位址

當您使用 Bastion 連線至 VM 時，不需要 VM 的公用 IP 位址。 如果您未將公用 IP 位址用於其他用途，即可從 VM 中斷關聯：

1. 移至虛擬機器。 在 [ 概觀] 頁面上，按兩下 [ 公用IP位址 ] 以開啟 [公用IP位址] 頁面。

2. 在 [ 公用 IP 位址 ] 頁面上，移至 [ 概觀]。 您可以檢視此IP位址相關聯的資源。 選取窗格頂端的 [中斷關聯]。

3. 選取 [是] 以將 IP 位址與 VM 網路介面中斷關聯。 將公用 IP 位址與網路介面中斷關聯後，請確認 [建立關聯對象] 下不再列出此位址。

4. 中斷關聯 IP 位址後，您可以刪除公用 IP 位址資源。 在 VM 的 [ 公用 IP 位址 ] 窗格的 [概觀 ] 頁面頂端，選取 [ 刪除]。

5. 選取 [是] 以刪除公用 IP 位址。

清除資源

當您完成此應用程式的使用時，請刪除資源：

1. 在入口網站頂端的 [搜尋] 方塊中，輸入資源群組的名稱。 當搜尋結果中出現資源群組時，請加以選取。
2. 選取 [刪除資源群組]。
3. 在 [輸入資源群組名稱] 中，輸入資源群組名稱，然後選取 [刪除]。

下一步

在本教學課程中，您已將 Bastion 部署至虛擬網路並連線至 VM。 然後，您已從 VM 移除公用 IP 位址。 接下來，請了解並設定其他 Bastion 功能。

Azure Bastion 組態設定

VM 連線和功能

為虛擬網路設定 Azure DDos 保護