快速入门:自动部署 Azure Bastion - 基本 SKU
在本快速入门中,你将了解如何使用默认设置和基本 SKU 在 Azure 门户中自动部署 Azure Bastion。 部署 Bastion 后,可以使用 SSH 或 RDP 通过 Bastion 连接到虚拟网络中的虚拟机 (VM),方法是使用该 VM 的专用 IP 地址。 连接到的 VM 不需要公共 IP 地址、客户端软件、代理或特殊配置。
下图显示了 Bastion 的体系结构。
这种类型部署的默认层是基本 SKU。 如果要使用标准 SKU 进行部署,请参阅《教程:使用指定的设置部署 Azure Bastion》。 有关 Bastion 的详细信息,请参阅《什么是 Azure Bastion?》。
本文中的步骤可帮助你执行以下操作:
- 通过使用 Azure 门户从 VM 资源使用默认设置部署 Bastion。 在通过使用默认设置进行部署时,设置基于将要部署 Bastion 的虚拟网络。
- 使用 SSH 或 RDP 连接和 VM 的专用 IP 地址通过门户连接到 VM。
- 如果不需要将 VM 的公共 IP 地址用于其他目的,请将其移除。
重要
小时定价从部署 Bastion 的时刻开始计算,而无论出站数据使用情况如何。 有关详细信息,请参阅定价和 SKU。 如果要将 Bastion 部署为教程或测试的一部分,建议在使用完此资源后将其删除。
先决条件
要完成本快速入门,需要以下资源:
一个 Azure 订阅。 如果还没有订阅,可以激活 MSDN 订阅方权益或注册获取试用版订阅。
虚拟网络中的 VM。
使用默认值部署 Bastion 时,将从 VM 所在的虚拟网络中拉取这些值。 此 VM 不会成为 Bastion 部署本身的一部分,但稍后在本练习中你会连接到此 VM。
如果在虚拟网络中没有 VM,请使用《快速入门:创建 Windows VM》或《快速入门:创建 Linux VM》创建一台 VM。
如果没有虚拟网络,可以在创建 VM 的同时创建一个虚拟网络。 如果已有一个虚拟网络,请确保在创建 VM 时在“网络”选项卡上选择它。
所需 VM 角色:
- 虚拟机上的读者角色
- 具有虚拟机专用 IP 的网络适配器 (NIC) 上的读者角色
所需的 VM 入站端口:
- 3389(适用于 Windows VM)
- 22(适用于 Linux VM)
注意
支持将 Azure Bastion 和 Azure 专用 DNS 区域一起使用。 但存在一些限制。 有关详细信息,请参阅《Azure Bastion 常见问题解答》。
示例值
创建此配置时,可以使用以下示例值,也可以将其替换为自己的值。
基本虚拟网络和 VM 值
名称 | 值 |
---|---|
虚拟机 | TestVM |
资源组 | TestRG1 |
区域 | 中国东部 2 |
虚拟网络 | VNet1 |
地址空间 | 10.1.0.0/16 |
子网 | FrontEnd:10.1.0.0/24 |
Bastion 值
从 VM 设置进行部署时,将会使用虚拟网络中的以下默认值来自动配置 Bastion。
名称 | 默认值 |
---|---|
AzureBastionSubnet | 以 /26 的形式在虚拟网络中创建 |
SKU | 基本 |
Name | 基于虚拟网络名称 |
公共 IP 地址名称 | 基于虚拟网络名称 |
配置 AzureBastionSubnet
部署 Azure Bastion 时,将在特定的子网中创建资源,该子网必须命名为 AzureBastionSubnet。 子网的名称指示系统在何处部署资源。 使用以下步骤将 AzureBastionSubnet 添加到虚拟网络:
- 在虚拟网络页面上的左窗格中,选择“子网”打开“子网”页。
- 在此页顶部,单击“+ 子网”打开“添加子网”窗格。
- 对于“名称”,必须使用“AzureBastionSubnet”。
- 根据需要调整 IP 地址范围值。 建议使用 /26 或更大的子网(/26、/25 或 /24)。 示例子网值:10.1.1.0/26。
- 不要调整该页面上的其他值。 单击页面底部的“保存”以保存子网。
添加 AzureBastionSubnet 后,可以继续下一部分并部署 Bastion。
部署 Bastion
在使用《部署 Bastion》在门户中创建 Azure Bastion 实例时,将会使用默认设置和基本 SKU 自动部署 Bastion。 无法修改或指定默认部署的其他值。
部署完成后,可以转到堡垒主机“配置”页以选择某些其他设置和功能。 以后还可以升级 SKU 以添加更多功能,但部署 Bastion 后将无法降级 SKU。 有关详细信息,请参阅《关于 Azure Bastion 配置设置》。
登录 Azure 门户。
在门户中,转到要连接到的 VM。 此 VM 所在的虚拟网络中的值将用于创建 Bastion 部署。
在 VM 页上,在左侧菜单的“操作”部分选择“Bastion”。
在“Bastion”窗格中,选择“专用部署选项”旁边的箭头以展开该部分。
在“创建 Bastion”部分中,选择“部署 Bastion”。
Bastion 随即开始部署。 此过程可能需要大约 10 分钟才能完成。
注意
如果收到一条消息,指出“无法添加子网”,则需要在部署 Bastion 之前将 AzureBastionSubnet 子网添加到虚拟网络。 转到虚拟网络“子网”页,添加 AzureBastionSubnet。 子网名称必须是 AzureBastionSubnet。 指定的子网地址范围必须为 /26 或更大(例如 /25 或 /24)。 将此子网添加到虚拟网络后,可以部署 Bastion。
连接到 VM
Bastion 部署完成后,屏幕将更改为“连接”窗格。
输入你的身份验证凭据。 然后,选择“连接”。
通过 Bastion 与此虚拟机建立的连接将使用端口 443 和 Bastion 服务在 Azure 门户中(通过 HTML5)直接打开。 当门户向你请求对剪贴板的权限时,请选择“允许”。 通过此步骤,可以使用窗口左侧的远程剪贴板箭头。
注意
进行连接时,VM 的桌面的外观可能与示例屏幕截图有所不同。
连接到 VM 时,使用键盘快捷键可能不会产生与使用本地计算机上的快捷键相同的行为。 例如,从 Windows 客户端连接到 Windows VM 时,CTRL+ALT+END 是本地计算机上 CTRL+ALT+Delete 的键盘快捷方式。 要在连接到 Windows VM 时从 Mac 执行此操作,键盘快捷方式为 Fn+Ctrl+Alt+Backspace。
启用音频输出
可以为 VM 启用远程音频输出。 有些 VM 会自动启用此设置,而有些 VM 则要求手动启用音频设置。 这些设置是在 VM 本身上更改的。 Bastion 部署不需要任何特殊的配置设置来启用远程音频输出。
注意
音频输出占用 Internet 连接上的带宽。
在 Windows VM 上启用远程音频输出:
- 连接到 VM 后,在工具栏右下角将出现一个音频按钮。
- 右键单击音频按钮,然后选择“声音”。
- 此时会出现一个弹出窗口,询问你是否要启用 Windows 音频服务。 选择“是”。 可以在“声音首选项”中配置更多音频选项。
- 若要验证声音输出,请将鼠标悬停在工具栏的音频按钮上。
移除 VM 公共 IP 地址
使用 Azure Bastion 连接到一个 VM 时,无需 VM 的公共 IP 地址。 如果不将公共 IP 地址用于任何其他内容,可以解除其与 VM 的关联。 若要解除公共 IP 地址与 VM 的关联,请执行以下步骤:
转到你的虚拟机,然后选择“网络”。 单击“NIC 公共 IP”打开“公共 IP 地址”页。
在“公共 IP 地址”页上,可以看到页面右下角的“关联到”下列出了 VM 网络接口。 单击页面顶部的“解除关联”。
单击“是”,将 IP 地址与网络接口解除关联。 解除公共 IP 地址与 VM 网络接口的关联后,可以看到它不再在“关联到”下列出。
解除 IP 地址关联后,可以删除公共 IP 地址资源。 在 VM 的“公共 IP 地址”页上,选择“删除”。
单击“是”以删除公共 IP 地址。
清理资源
使用完虚拟网络和虚拟机之后,请删除资源组和其包含的所有资源:
在门户顶部的“搜索”框中输入资源组的名称,然后从搜索结果中选择该名称。
选择“删除资源组”。
在“键入资源组名称”输入资源组的名称,,然后选择“删除”。
后续步骤
在本快速入门中,你将 Bastion 部署到了虚拟网络。 然后,通过 Bastion 安全地连接到虚拟机。 接下来,可以配置更多功能并使用 VM 连接。