创建 Bastion 的可共享链接

Bastion“可共享链接”功能允许用户通过 Azure Bastion 连接到目标资源(虚拟机或虚拟机规模集),无需访问 Azure 门户。 本文介绍如何使用可共享链接功能为现有 Azure Bastion 部署创建可共享链接。

当没有 Azure 凭据的用户单击可共享链接时,会打开一个网页,提示用户通过 RDP 或 SSH 登录到目标资源。 用户使用用户名和密码或私钥进行身份验证,具体取决于你为该目标资源配置的内容。 可共享链接不包含任何凭据 - 管理员必须向用户提供登录凭据。

默认情况下,组织中的用户对共享链接只有读取访问权限。 如果用户具有读取访问权限,则他们只能使用和查看共享链接,但无法创建或删除可共享链接。 有关详细信息,请参阅本文的权限部分。

注意事项

  • 当前,跨租户的对等互连 VNET 不支持可共享链接。
  • 虚拟 WAN 目前不支持可共享链接。
  • 可共享链接不支持连接到本地或非 Azure VM 和 VMSS。 
  • 此功能需要标准 SKU。
  • Bastion 一次仅支持 50 个对可共享链接的请求,包括创建和删除。
  • 每个 Bastion 资源仅支持 500 个可共享链接。

先决条件

  • Azure Bastion 已部署到 VNet。 请参阅教程:使用手动设置部署 Bastion 了解相关步骤。

  • 必须将 Bastion 配置为对此功能使用标准 SKU。 配置可共享链接功能时,可以将 SKU 从“基本”更新为“标准”。

  • 在其中部署了 Bastion 资源的 VNet 或者直接对等互连的 VNet 包含你想要创建可共享链接的 VM 资源。

必须先启用该功能,然后才能创建指向 VM 的可共享链接。

  1. 在 Azure 门户中,转到你的 Bastion 资源。

  2. 在“Bastion”页上的左窗格中单击“配置”。

    Screenshot of Configuration settings with shareable link selected.

  3. 在“配置”页上的“层级”处选择标准服务层级(如果尚未选择)。 此功能需要标准 SKU。

  4. 从列出的功能中选择“可共享链接”,以启用“可共享链接”功能。

  5. 验证是否已选择所需的设置,然后单击“应用”。

  6. Bastion 将立即开始更新堡垒主机的设置。 更新需要大约 10 分钟时间。

在本部分中,将指定要为其创建可共享链接的每个资源

  1. 在 Azure 门户中,转到你的 Bastion 资源。

  2. 在“Bastion”页上的左窗格中,单击“可共享链接”。 单击“+ 添加”,打开“创建可共享链接”页。

    Screenshot shareable links page with + add.

  3. 在“创建可共享链接”页上,选择要为其创建可共享链接的资源。 可以选择特定资源,也可以全选。 系统将为每个所选资源创建单独的可共享链接。 单击“应用”以创建链接。

    Screenshot of shareable links page to create a shareable link.

  4. 创建链接后,可以在“可共享链接”页上查看这些链接。 以下示例显示了多个资源的链接。 可以看到,每个资源都有一个单独的链接,并且链接状态为“活动”。 请复制要共享的链接,然后将其发送给用户。 该链接不包含身份验证凭据。

    Screenshot of shareable links page to show all available resource links.

连接到 VM

  1. 用户可在浏览器中打开自己收到的链接。

  2. 在左侧角,用户可以选择是否查看复制到剪贴板的文本和图像。 用户输入所需信息,然后单击“登录”进行连接。 共享链接不包含身份验证凭据。 管理员必须向用户提供登录凭据。 支持自定义端口和协议。

    Screenshot of Sign-in to bastion using the shareable link in the browser.

    注意

    如果无法再打开某个链接,则表示组织中的某个人已删除该资源。 虽然你仍然可以在列表中看到这个共享链接,但该链接不再连接到目标资源,并将显示连接错误。 可从列表中删除该共享链接,或将其保留以供审核。

  1. 在 Azure 门户中,转到“Bastion 资源”->“可共享链接”。

  2. 在“可共享链接”页上选择要删除的资源链接,然后单击“删除”。

    Screenshot of selecting link to delete.

权限

对可共享链接功能的权限是通过访问控制(标识和访问管理)配置的。 默认情况下,组织中的用户对共享链接只有读取访问权限。 如果用户具有读取访问权限,则他们只能使用和查看共享链接,但无法创建或删除它们。

若要向某人授予创建或删除共享链接的权限,请执行以下步骤:

  1. 在 Azure 门户中,转到你的堡垒主机。

  2. 转到“访问控制(标识和访问管理)”页。

  3. 在 Microsoft.Network/bastionHosts 部分中配置以下权限:

    • 其他:为堡垒主机下的 VM 创建可共享的 URL 并返回 URL。
    • 其他:删除堡垒主机下给定 VM 的可共享 URL。
    • 其他:删除堡垒主机下给定令牌的可共享 URL。

    这些权限对应于以下 PowerShell cmdlet:

    • Microsoft.Network/bastionHosts/createShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinksByToken/action
    • Microsoft.Network/bastionHosts/getShareableLinks/action - 如果未启用此功能,用户将无法看到可共享的链接。

后续步骤