快速入门:自动部署 Azure Bastion - 基本 SKU
在本快速入门中,你将了解如何使用默认设置和基本 SKU 在 Azure 门户中自动部署 Azure Bastion。 部署 Bastion 后,可以使用 SSH 或 RDP 通过 Bastion 连接到虚拟网络中的虚拟机 (VM),方法是使用该 VM 的专用 IP 地址。 连接到的 VM 不需要公共 IP 地址、客户端软件、代理或特殊配置。
自动部署 Bastion 时,Bastion 使用基本 SKU 进行部署。 如果要在部署 Bastion 时指定功能、配置设置或使用其他 SKU,请参阅教程:使用指定的设置部署 Azure Bastion。 有关 Bastion 的详细信息,请参阅什么是 Azure Bastion?
本文中的步骤可帮助:
- 通过使用 Azure 门户从 VM 资源使用默认设置(基本 SKU)部署 Bastion。 使用默认设置进行部署时,这些设置基于 VM 所在的虚拟网络。
- 使用 SSH 或 RDP 连接和 VM 的专用 IP 地址通过门户连接到 VM。
- 如果不需要将 VM 的公共 IP 地址用于其他目的,请将其移除。
重要
小时定价从部署 Bastion 的时刻开始计算,而无论出站数据使用情况如何。 有关详细信息,请参阅定价和 SKU。 如果要将 Bastion 部署为教程或测试的一部分,建议在使用完此资源后将其删除。
先决条件
要完成本快速入门,需要以下资源:
一个 Azure 订阅。 如果还没有订阅,可以激活 MSDN 订阅方权益或注册获取试用版订阅。
虚拟网络中的 VM。 使用默认值部署 Bastion 时,将从 VM 所在的虚拟网络中拉取这些值。 此 VM 不会成为 Bastion 部署本身的一部分,但稍后在本练习中你会连接到此 VM。
- 如果在虚拟网络中没有 VM,请使用《快速入门:创建 Windows VM》或《快速入门:创建 Linux VM》创建一台 VM。
- 如果没有虚拟网络,可以在创建 VM 的同时创建一个虚拟网络。 如果已有一个虚拟网络,请确保在创建 VM 时在“网络”选项卡上选择它。
所需 VM 角色:
- 虚拟机上的读者角色
- 具有虚拟机专用 IP 的网络适配器 (NIC) 上的读者角色
所需的 VM 入站端口:
- 3389(适用于 Windows VM)
- 22(适用于 Linux VM)
注意
支持将 Azure Bastion 和 Azure 专用 DNS 区域一起使用。 但存在一些限制。 有关详细信息,请参阅《Azure Bastion 常见问题解答》。
示例值
创建此配置时,可以使用以下示例值,也可以将其替换为自己的值。
基本虚拟网络和 VM 值
| 名称 | 值 |
|---|---|
| 虚拟机 | TestVM |
| 资源组 | TestRG1 |
| 区域 | 中国东部 2 |
| 虚拟网络 | VNet1 |
| 地址空间 | 10.1.0.0/16 |
| 子网 | FrontEnd:10.1.0.0/24 |
Bastion 值
从 VM 设置进行部署时,将会使用虚拟网络中的以下默认值来自动配置 Bastion。
| 名称 | 默认值 |
|---|---|
| AzureBastionSubnet | 以 /26 的形式在虚拟网络中创建 |
| SKU | 基本 |
| Name | 基于虚拟网络名称 |
| 公共 IP 地址名称 | 基于虚拟网络名称 |
部署 Bastion
在使用《部署 Bastion》在门户中创建 Azure Bastion 实例时,将会使用默认设置和基本 SKU 自动部署 Bastion。 选择“部署 Bastion”时,无法修改或指定其他值。 部署完成后,可以转到堡垒主机的配置页以配置其他设置或升级 SKU。 有关详细信息,请参阅《关于 Azure Bastion 配置设置》。
登录 Azure 门户。
在门户中,转到要连接到的 VM。 此 VM 所在的虚拟网络中的值将用于创建 Bastion 部署。
在 VM 页上,在左侧菜单的“操作”部分选择“Bastion”以打开 Bastion 页。 Bastion 页具有不同的接口,具体取决于 VM 部署到的区域。 某些功能在所有区域中都不可用。 可能需要展开专用部署选项才能访问部署 Bastion。
选择“部署 Bastion”。 Bastion 随即开始部署。 此过程可能需要大约 10 分钟才能完成。
注意
如果收到一条消息,指出“无法添加子网”,则需要在部署 Bastion 之前将 AzureBastionSubnet 子网添加到虚拟网络。 转到虚拟网络“子网”页,添加 AzureBastionSubnet。 子网名称必须是 AzureBastionSubnet。 指定的子网地址范围必须为 /26 或更大(例如 /25 或 /24)。 将此子网添加到虚拟网络后,可以部署 Bastion。
连接到 VM
Bastion 部署完成后,屏幕将更改为“连接”窗格。
输入你的身份验证凭据。 然后,选择“连接”。
通过 Bastion 与此虚拟机建立的连接将使用端口 443 和 Bastion 服务在 Azure 门户中(通过 HTML5)直接打开。 当门户向你请求对剪贴板的权限时,请选择“允许”。 通过此步骤,可以使用窗口左侧的远程剪贴板箭头。
注意
进行连接时,VM 的桌面的外观可能与示例屏幕截图有所不同。
连接到 VM 时,使用键盘快捷键可能不会产生与使用本地计算机上的快捷键相同的行为。 例如,从 Windows 客户端连接到 Windows VM 时,CTRL+ALT+END 是本地计算机上 CTRL+ALT+Delete 的键盘快捷方式。 要在连接到 Windows VM 时从 Mac 执行此操作,键盘快捷方式为 Fn+Ctrl+Alt+Backspace。
启用音频输出
可以为 VM 启用远程音频输出。 有些 VM 会自动启用此设置,而有些 VM 则要求手动启用音频设置。 这些设置是在 VM 本身上更改的。 Bastion 部署不需要任何特殊的配置设置来启用远程音频输出。
注意
音频输出会使用 Internet 连接上的带宽。
在 Windows VM 上启用远程音频输出:
- 连接到 VM 后,工具栏右下角会显示一个音频按钮。 右键单击音频按钮,然后选择“声音”。
- 弹出消息询问是否要启用 Windows 音频服务。 选择是。 可以在“声音首选项”中配置更多音频选项。
- 要验证声音输出,请将鼠标悬停在工具栏的音频按钮上。
删除 VM 公共 IP 地址
使用 Azure Bastion 连接到一个 VM 时,无需 VM 的公共 IP 地址。 如果不对任何其他内容使用公共 IP 地址,则可以将其与 VM 取消关联:
转到你的虚拟机。 在“概述”页上,单击“公共 IP 地址”打开“公共 IP 地址”页。
在“公共 IP 地址”页上,转到“概述”。 可以查看此 IP 地址关联到的资源。 选择窗格顶部的“取消关联”。
选择“是”,以将 IP 地址与 VM 网络接口取消关联。 将公共 IP 地址与网络接口取消关联后,请验证它是否不再列出在“关联到”下面。
解除 IP 地址关联后,可以删除公共 IP 地址资源。 在 VM 的“公共 IP 地址”页上,选择“删除”。
选择“是”,以删除公共 IP 地址。
清理资源
使用完虚拟网络和虚拟机之后,请删除资源组和其包含的所有资源:
在门户顶部的“搜索”框中输入资源组的名称,然后从搜索结果中选择该名称。
选择“删除资源组”。
在“键入资源组名称”输入资源组的名称,,然后选择“删除”。
后续步骤
在本快速入门中,你将 Bastion 部署到了虚拟网络。 然后,通过 Bastion 安全地连接到虚拟机。 接下来,可以配置更多功能并使用 VM 连接。