创建 Bastion 的可共享链接
Bastion“可共享链接”功能允许用户通过 Azure Bastion 连接到目标资源(虚拟机或虚拟机规模集),无需访问 Azure 门户。 本文介绍如何使用可共享链接功能为现有 Azure Bastion 部署创建可共享链接。
当没有 Azure 凭据的用户单击可共享链接时,会打开一个网页,提示用户通过 RDP 或 SSH 登录到目标资源。 用户使用用户名和密码或私钥进行身份验证,具体取决于你为该目标资源配置的内容。 可共享链接不包含任何凭据 - 管理员必须向用户提供登录凭据。
默认情况下,组织中的用户对共享链接只有读取访问权限。 如果用户具有读取访问权限,则他们只能使用和查看共享链接,但无法创建或删除可共享链接。 有关详细信息,请参阅本文的权限部分。
注意事项
- 当前,跨租户的对等互连 VNET 不支持可共享链接。
- 虚拟 WAN 目前不支持可共享链接。
- 可共享链接不支持连接到本地或非 Azure VM 和 VMSS。
- 此功能需要标准 SKU。
- Bastion 一次仅支持 50 个对可共享链接的请求,包括创建和删除。
- 每个 Bastion 资源仅支持 500 个可共享链接。
先决条件
Azure Bastion 已部署到 VNet。 请参阅教程:使用手动设置部署 Bastion 了解相关步骤。
必须将 Bastion 配置为对此功能使用标准 SKU。 配置可共享链接功能时,可以将 SKU 从“基本”更新为“标准”。
在其中部署了 Bastion 资源的 VNet 或者直接对等互连的 VNet 包含你想要创建可共享链接的 VM 资源。
启用可共享链接功能
必须先启用该功能,然后才能创建指向 VM 的可共享链接。
在 Azure 门户中,转到你的 Bastion 资源。
在“Bastion”页上的左窗格中单击“配置”。
在“配置”页上的“层级”处选择标准服务层级(如果尚未选择)。 此功能需要标准 SKU。
从列出的功能中选择“可共享链接”,以启用“可共享链接”功能。
验证是否已选择所需的设置,然后单击“应用”。
Bastion 将立即开始更新堡垒主机的设置。 更新需要大约 10 分钟时间。
创建可共享链接
在本部分中,将指定要为其创建可共享链接的每个资源
在 Azure 门户中,转到你的 Bastion 资源。
在“Bastion”页上的左窗格中,单击“可共享链接”。 单击“+ 添加”,打开“创建可共享链接”页。
在“创建可共享链接”页上,选择要为其创建可共享链接的资源。 可以选择特定资源,也可以全选。 系统将为每个所选资源创建单独的可共享链接。 单击“应用”以创建链接。
创建链接后,可以在“可共享链接”页上查看这些链接。 以下示例显示了多个资源的链接。 可以看到,每个资源都有一个单独的链接,并且链接状态为“活动”。 请复制要共享的链接,然后将其发送给用户。 该链接不包含身份验证凭据。
连接到 VM
用户可在浏览器中打开自己收到的链接。
在左侧角,用户可以选择是否查看复制到剪贴板的文本和图像。 用户输入所需信息,然后单击“登录”进行连接。 共享链接不包含身份验证凭据。 管理员必须向用户提供登录凭据。 支持自定义端口和协议。
注意
如果无法再打开某个链接,则表示组织中的某个人已删除该资源。 虽然你仍然可以在列表中看到这个共享链接,但该链接不再连接到目标资源,并将显示连接错误。 可从列表中删除该共享链接,或将其保留以供审核。
删除可共享链接
权限
对可共享链接功能的权限是通过访问控制(标识和访问管理)配置的。 默认情况下,组织中的用户对共享链接只有读取访问权限。 如果用户具有读取访问权限,则他们只能使用和查看共享链接,但无法创建或删除它们。
若要向某人授予创建或删除共享链接的权限,请执行以下步骤:
在 Azure 门户中,转到你的堡垒主机。
转到“访问控制(标识和访问管理)”页。
在 Microsoft.Network/bastionHosts 部分中配置以下权限:
- 其他:为堡垒主机下的 VM 创建可共享的 URL 并返回 URL。
- 其他:删除堡垒主机下给定 VM 的可共享 URL。
- 其他:删除堡垒主机下给定令牌的可共享 URL。
这些权限对应于以下 PowerShell cmdlet:
- Microsoft.Network/bastionHosts/createShareableLinks/action
- Microsoft.Network/bastionHosts/deleteShareableLinks/action
- Microsoft.Network/bastionHosts/deleteShareableLinksByToken/action
- Microsoft.Network/bastionHosts/getShareableLinks/action - 如果未启用此功能,用户将无法看到可共享的链接。
后续步骤
- 有关其他功能,请参阅 Bastion 功能和配置设置。
- 有关 Azure Bastion 的详细信息,请参阅什么是 Azure Bastion?