使用 Azure PowerShell 部署 Bastion
本文介绍如何使用 PowerShell 通过标准 SKU 来部署 Azure Bastion。 Azure Bastion 是为你维护的 PaaS 服务,而不是在你的 VM 上安装并由你自己维护的堡垒主机。 Azure Bastion 部署是按虚拟网络进行的,而不是按订阅/帐户或虚拟机部署。 有关 Azure Bastion 的详细信息,请参阅什么是 Azure Bastion?
在将 Bastion 部署到虚拟网络后,即可通过专用 IP 地址连接到你的 VM。 同一虚拟网络中的所有 VM 都可以获得此无缝 RDP/SSH 体验。 如果 VM 具有你不需要其来执行任何其它操作的公共 IP 地址,可以将其删除。
在本文中,你将创建一个虚拟网络(如果还没有)、使用 PowerShell 部署 Azure Bastion,并连接到 VM。 还可通过使用以下其他方法来部署 Bastion:
注意
支持将 Azure Bastion 和 Azure 专用 DNS 区域一起使用。 但存在一些限制。 有关详细信息,请参阅 Bastion 常见问题解答。
开始之前
确保拥有 Azure 订阅。 如果还没有 Azure 订阅,可以激活 MSDN 订户权益或注册试用版订阅。
PowerShell
可以在计算机本地安装并运行 Azure PowerShell cmdlet。 PowerShell cmdlet 经常更新。 如果尚未安装最新版本,说明中指定的值可能会失败。 若要查找计算机上安装的 Azure PowerShell 版本,请使用 Get-Module -ListAvailable Az cmdlet。 若要进行安装或更新,请参阅安装 Azure PowerShell 模块。
示例值
创建此配置时,可以使用以下示例值,也可以将其替换为自己的值。
** 示例 VNet 和 VM 值:**
| Name | 值 |
|---|---|
| 虚拟机 | TestVM |
| 资源组 | TestRG1 |
| 区域 | 中国东部 2 |
| 虚拟网络 | VNet1 |
| 地址空间 | 10.1.0.0/16 |
| 子网 | 前端:10.1.0.0/24 |
Azure Bastion 值:
| 名称 | 值 |
|---|---|
| 名称 | VNet1-bastion |
| 子网名称 | FrontEnd |
| 子网名称 | AzureBastionSubnet |
| AzureBastionSubnet 地址 | VNet 地址空间中子网掩码为 /26 或更大的子网。 例如 10.1.1.0/26。 |
| 层/SKU | 标准 |
| 公共 IP 地址 | 新建 |
| 公共 IP 地址名称 | VNet1-ip |
| 公用 IP 地址 SKU | Standard |
| 分配 | 静态 |
部署 Bastion
本部分可帮助你创建虚拟网络、子网,以及使用 Azure PowerShell 部署 Azure Bastion。
重要
小时定价从部署 Bastion 的时刻开始计算,而无论出站数据使用情况如何。 有关详细信息,请参阅定价和 SKU。 如果要将 Bastion 部署为教程或测试的一部分,建议在使用完此资源后将其删除。
创建资源组、虚拟网络和前端子网,以便通过 Bastion 将要连接到的 VM 部署到其中。 如果在本地运行 PowerShell,请使用提升的权限打开 PowerShell 控制台,然后使用
Connect-AzAccount -Environment AzureChinaCloud命令连接到 Azure。New-AzResourceGroup -Name TestRG1 -Location ChinaEast2 ` $frontendSubnet = New-AzVirtualNetworkSubnetConfig -Name FrontEnd ` -AddressPrefix "10.1.0.0/24" ` $virtualNetwork = New-AzVirtualNetwork ` -Name TestVNet1 -ResourceGroupName TestRG1 ` -Location ChinaEast2 -AddressPrefix "10.1.0.0/16" ` -Subnet $frontendSubnet ` $virtualNetwork | Set-AzVirtualNetwork配置和设置虚拟网络的 Azure Bastion 子网。 此子网是专为 Azure Bastion 资源保留的。 必须使用名称值 AzureBastionSubnet 创建此子网。 此值告知 Azure 要将 Bastion 资源部署到哪个子网。 以下部分中的示例还有助于将 Azure Bastion 子网添加到现有 VNet。
- 可以创建的最小的子网 AzureBastionSubnet 大小为 /26。 建议创建 /26 或更大的大小以适应主机缩放。
- 有关缩放的详细信息,请参阅配置设置 - 主机缩放。
- 有关设置的详细信息,请参阅配置设置 - AzureBastionSubnet。
- 创建不包含任何路由表或委托的 AzureBastionSubnet。
- 如果使用 AzureBastionSubnet 上的网络安全组,请参阅使用 NSG 一文。
设置变量。
$vnet = Get-AzVirtualNetwork -Name "TestVNet1" -ResourceGroupName "TestRG1"添加子网。
Add-AzVirtualNetworkSubnetConfig ` -Name "AzureBastionSubnet" -VirtualNetwork $vnet ` -AddressPrefix "10.1.1.0/26" | Set-AzVirtualNetwork- 可以创建的最小的子网 AzureBastionSubnet 大小为 /26。 建议创建 /26 或更大的大小以适应主机缩放。
为 Azure Bastion 创建一个公共 IP 地址。 此公共 IP 是将在其上访问 RDP/SSH(通过端口 443)的 Bastion 资源的公共 IP 地址。 公共 IP 地址必须与要创建的 Bastion 资源位于同一区域。
$publicip = New-AzPublicIpAddress -ResourceGroupName "TestRG1" ` -name "VNet1-ip" -location "ChinaEast2" ` -AllocationMethod Static -Sku Standard使用 New-AzBastion 命令在 AzureBastionSubnet 中创建新的 Azure Bastion 资源。 以下示例使用基本 SKU。 但是,还可以通过将 -Sku 值更改为“标准”来使用标准 SKU 部署 Bastion。 使用标准 SKU,你可以配置更多 Bastion 功能,并使用更多连接类型来连接到 VM。 有关详细信息,请参阅 Bastion SKU。
New-AzBastion -ResourceGroupName "TestRG1" -Name "VNet1-bastion" ` -PublicIpAddressRgName "TestRG1" -PublicIpAddressName "VNet1-ip" ` -VirtualNetworkRgName "TestRG1" -VirtualNetworkName "TestVNet1" ` -Sku "Basic"部署 Bastion 资源大约需要 10 分钟。 当 Bastion 部署到虚拟网络时,你可以在下一部分创建 VM。
创建 VM
可以根据快速入门:使用 PowerShell 创建 VM 一文或快速入门:使用门户创建 VM 一文创建 VM。 请确保将 VM 部署到 Bastion 部署到的同一个虚拟网络。 在此部分创建的 VM 不是 Bastion 配置的一部分,不会成为堡垒主机。 本教程稍后会通过 Bastion 连接到此 VM。
以下是资源所需的角色。
所需 VM 角色:
- 虚拟机上的读者角色。
- NIC 上的读者角色(使用虚拟机的专用 IP)。
所需的入站端口:
- 适用于 Windows VMS - RDP (3389)
- 适用于 Linux VMs - SSH (22)
连接到 VM
可以使用以下部分中的连接步骤连接到 VM。 还可使用以下任何文章连接到 VM。 有些连接类型需要 Bastion 标准 SKU。
- 连接到 Windows VM
- 连接到 Linux VM
- 连接到规模集
- 通过 IP 地址进行连接
- 从本地客户端连接
连接步骤
在 Azure 门户中,转到要连接到的虚拟机。
在页面顶部,选择“连接”->“Bastion”,以转到“Bastion”页面。 还可以使用左侧菜单以转到“Bastion”页面。
Bastion 页面上的可用选项取决于 Bastion SKU 层。 如果正在使用基本 SKU,可以使用 RDP 和端口 3389 连接到 Windows 计算机,使用 SSH 和端口 22 连接到 Linux 计算机。 没有用于更改端口号或协议的选项。 但是,可以通过展开“连接设置”更改 RDP 的键盘语言。
如果使用标准 SKU,有更多的连接协议和端口选项可用。 展开“连接设置”以查看选项。 通常,除非为 VM 配置了不同的设置,否则使用 RDP 和端口 3389 连接到 Windows 计算机,使用 SSH 和端口 22 连接到 Linux 计算机。
从下拉列表选择“身份验证类型”。 协议确定可用的身份验证类型。 填写所需的身份验证值。
若要在新浏览器选项卡中打开 VM 会话,请保持选中“在新浏览器选项卡中打开”。
单击“连接”以连接到 VM。
通过 Bastion 到此虚拟机的连接将使用端口 443 和 Bastion 服务在 Azure 门户中(通过 HTML5)直接打开。
进行连接时,VM 的桌面看起来将与示例屏幕截图有所不同。
连接到 VM 时,使用键盘快捷键可能不会产生与本地计算机上的快捷键相同的行为。 例如,从 Windows 客户端连接到 Windows VM 时,CTRL+ALT+END 是本地计算机上 CTRL+ALT+Delete 的键盘快捷方式。 若要在连接到 Windows VM 时从 Mac 上执行此操作,键盘快捷方式为 Fn+CTRL+ALT+Backspace。
启用音频输出
可以为 VM 启用远程音频输出。 有些 VM 会自动启用此设置,而有些 VM 则要求手动启用音频设置。 这些设置是在 VM 本身上更改的。 Bastion 部署不需要任何特殊的配置设置来启用远程音频输出。
注意
音频输出占用 Internet 连接上的带宽。
在 Windows VM 上启用远程音频输出:
- 连接到 VM 后,在工具栏右下角将出现一个音频按钮。
- 右键单击音频按钮,然后选择“声音”。
- 此时会出现一个弹出窗口,询问你是否要启用 Windows 音频服务。 选择“是”。 可以在“声音首选项”中配置更多音频选项。
- 若要验证声音输出,请将鼠标悬停在工具栏的音频按钮上。
删除 VM 公共 IP 地址
Azure Bastion 不使用公共 IP 地址来连接到客户端 VM。 如果 VM 不需要公共 IP 地址,可以取消与公共 IP 地址的关联。 请参阅将公共 IP 地址与 Azure VM 取消关联。
后续步骤
- 若要在 Azure Bastion 子网中使用网络安全组,请参阅使用 NSG。
- 若要了解 VNet 对等互连,请参阅 VNet 对等互连和 Azure Bastion。