使用 Azure Bastion 创建与 Windows VM 的 RDP 连接

本文演示如何直接通过 Azure 门户安全无缝地与 Azure 虚拟网络中的 Windows VM 建立 RDP 连接。 使用 Azure Bastion 时,VM 不需要客户端、代理或其他软件。 也可使用 SSH 连接到 Windows VM。 有关信息,请参阅创建与 Windows VM 的 SSH 连接

Azure Bastion 为预配它的虚拟网络中的所有 VM 提供安全连接。 使用 Azure Bastion 可防止虚拟机向外部公开 RDP/SSH 端口,同时仍然使用 RDP/SSH 提供安全访问。 有关详细信息,请参阅什么是 Azure Bastion?

先决条件

在开始之前,请验证是否满足以下条件:

  • 一个已安装 Bastion 主机的 VNet。

    • 请确保已为 VM 所在的虚拟网络设置 Azure Bastion 主机。 在虚拟网络中预配和部署 Bastion 服务后,便可以使用它连接到此虚拟网络中的任何 VM。
    • 若要设置 Azure Bastion 主机,请参阅创建堡垒主机。 如果计划配置自定义端口值,请确保在配置 Bastion 时选择标准或更高级别的 SKU。
  • 虚拟网络中的 Windows 虚拟机。

必需的角色

  • 虚拟机上的读者角色。
  • NIC 上的读者角色(使用虚拟机的专用 IP)。
  • Azure Bastion 资源上的读者角色。
  • 目标虚拟机的虚拟网络上的读者角色(如果 Bastion 部署位于对等互连虚拟网络中)。

端口

若要连接到 Windows VM,必须在 Windows VM 上打开以下端口:

  • 入站端口:RDP (3389) 或

  • 入站端口:自定义值(然后,你需要在通过 Azure Bastion 连接到 VM 时指定此自定义端口)

    注意

    如果要指定自定义端口值,则必须使用标准或更高级别的 SKU 对 Azure Bastion 进行配置。 基本 SKU 不允许指定自定义端口。

目标 VM 上的权限

用户在通过 RDP 连接到 Windows VM 时,必须对目标 VM 拥有权限。 如果用户不是本地管理员,请将其添加到目标 VM 上的远程桌面用户组。

请参阅 Azure Bastion 常见问题解答了解其他要求。

连接

  1. Azure 门户中,转到要连接的虚拟机。 在“概述”页上,选择“连接”,然后从下拉列表中选择 Bastion 以打开 Bastion 页。 还可以从左侧窗格选择 Bastion。

    “连接”的屏幕截图。

  2. 在 Bastion 页上,输入所需的身份验证凭据,然后单击“连接”。 如果使用标准 SKU 配置了堡垒主机,将在此页上看到其他凭据选项。 如果 VM 已加入域,则必须使用以下格式:username@domain.com

    “连接”按钮的屏幕截图。

  3. 在单击“连接”时,通过 Bastion 与此虚拟机的 RDP 连接将在浏览器中(通过 HTML5)使用端口 443 和 Bastion 服务打开。 以下示例显示了在新浏览器标签页中与 Windows 11 虚拟机的连接。你看到的页面取决于要连接到的 VM。

    连接到 Windows 11 VM 的屏幕截图。

    使用 VM 时,使用键盘快捷键可能不会导致与本地计算机上的快捷键相同的行为。 例如,从 Windows 客户端连接到 Windows VM 时,CTRL+ALT+END 是本地计算机上 CTRL+ALT+Delete 的键盘快捷方式。 若要在连接到 Windows VM 时从 Mac 上执行此操作,键盘快捷方式为 Fn+CTRL+ALT+Backspace。

后续步骤

有关其他连接信息,请参阅堡垒主机常见问题解答