通过指定的专用 IP 地址连接 VM

通过基于 IP 的连接,可以使用指定的专用 IP 地址通过 Azure Bastion 连接到本地、非 Azure 和非 Azure 虚拟机。通过 ExpressRoute 上的 Azure Bastion 或 VPN 站点到站点连接。 本文中的步骤介绍如何配置 Bastion 部署,然后使用基于 IP 的连接连接到本地资源。 有关 Azure Bastion 的详细信息,请参阅概述

显示 Azure Bastion 体系结构的图表。

注意

此配置需要 Azure Bastion 的标准 SKU 层或更高层。 若要升级,请参阅升级 SKU

限制

  • 基于 IP 的连接不适用于通过 VPN 的强制隧道,或者在 ExpressRoute 线路上播发默认路由时。 Azure Bastion 需要访问 Internet 并强制隧道,或者默认路由播发将导致流量变黑。

  • RDP 连接不支持 Microsoft Entra 身份验证。 SSH 连接通过本机客户端支持 Microsoft Entra 身份验证。

  • 通过本机客户端连接到 VM 时,当前不支持自定义端口和协议。

  • Bastion 子网不支持 UDR(包括使用基于 IP 的连接的情况)。

先决条件

在开始这些步骤之前,请验证是否已设置以下环境:

  • 部署了 Bastion 的 VNet。

    • 确保已将 Bastion 部署到虚拟网络。 在虚拟网络中预配和部署 Bastion 服务后,便可以使用它连接到部署在可从 Bastion 访问的虚拟网络中的任何 VM。
    • 若要部署 Bastion,请参阅快速入门:使用默认设置部署 Bastion
  • 任何可访问虚拟网络中的虚拟机。 这是要连接到的虚拟机。

配置 Bastion

  1. 登录 Azure 门户

  2. 在 Azure 门户中,转到你的 Bastion 部署。

  3. 基于 IP 的连接需要标准 SKU 层或更高层。 在“配置”页上的“层”中,验证层已设为标准 SKU 或更高层。 如果层设为基本 SKU,请从下拉列表中选择“更高 SKU”。

  4. 若要启用基于 IP 的连接,请选择“基于 IP 的连接”。

    显示“配置”页面的屏幕截图。

  5. 选择“应用”,以应用更改。 Bastion 配置需要几分钟才能完成。

连接到 VM - Azure 门户

  1. 若要使用指定的专用 IP 地址连接到 VM,请从 Bastion 连接到 VM,而不是直接从 VM 页进行连接。 在 Bastion 页面上,选择“连接”打开连接页面。

  2. 在 Bastion “连接”页上,对于“IP 地址”,请输入目标 VM 的专用 IP 地址。

    “使用 Azure Bastion 进行连接”页面的屏幕截图。

  3. 将连接设置调整为所需的协议端口

  4. 用户名密码中输入凭据。

  5. 选择“链接”以连接到你的虚拟机。

连接到 VM - 本机客户端

你可以在本机客户端上通过 SSH、RDP 或隧道使用指定的 IP 地址连接到 VM。 若要详细了解如何配置本机客户端支持,请参阅配置 Bastion 本机客户端支持

注意

此功能目前不支持 Microsoft Entra 身份验证或自定义端口和协议。

使用以下命令作为示例:

RDP:

az network bastion rdp --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>

SSH:

az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>" --auth-type "ssh-key" --username "<Username>" --ssh-key "<Filepath>"

隧道:

az network bastion tunnel --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>" --resource-port "<TargetVMPort>" --port "<LocalMachinePort>"

后续步骤

有关其他信息,请参阅 Bastion 常见问题解答