Bereitstellen von Bastion mithilfe von Azure PowerShell

In diesem Artikel erfahren Sie, wie Sie Azure Bastion mithilfe von PowerShell bereitstellen. Azure Bastion ist ein PaaS-Dienst, der für Sie verwaltet wird, nicht ein Bastionhost, den Sie auf Ihrer VM installieren und selbst verwalten. Eine Azure Bastion Bereitstellung erfolgt pro virtuellem Netzwerk, nicht pro Abonnement/Konto oder virtuellen Computer. Weitere Informationen zu Azure Bastion finden Sie unter What is Azure Bastion?

Nachdem Sie Bastion in Ihrem virtuellen Netzwerk bereitgestellt haben, können Sie über eine private IP-Adresse eine Verbindung mit Ihren VMs herstellen. Diese nahtlose RDP/SSH-Benutzererfahrung steht allen VMs innerhalb des gleichen virtuellen Netzwerks zur Verfügung. Wenn Ihre VM über eine öffentliche IP-Adresse verfügt, die für keine anderen Zwecke benötigt wird, können Sie sie entfernen.

In diesem Artikel erstellen Sie ein virtuelles Netzwerk (wenn Sie noch kein Netzwerk haben), stellen Sie Azure Bastion mithilfe von PowerShell bereit, und stellen Sie eine Verbindung mit einer VM her. In den Beispielen wird Bastion mithilfe der Standard-SKU bereitgestellt, Sie können jedoch je nach den Features, die Sie verwenden möchten, eine andere Bastion-SKU verwenden. Weitere Informationen finden Sie unter Bastion-SKUs.

Sie können Bastion auch mithilfe der folgenden anderen Methoden bereitstellen:

Hinweis

Die Verwendung von Azure Bastion mit Azure Private DNS Zonen wird unterstützt. Es gibt jedoch Einschränkungen. Weitere Informationen finden Sie im Azure Bastion FAQ.

Bevor Sie beginnen

Stellen Sie sicher, dass Sie über ein Azure-Abonnement verfügen. Wenn Sie noch nicht über ein Azure-Abonnement verfügen, können Sie Ihre MSDN-Abonnentenvorteile aktivieren oder sich für ein free-Konto registrieren.

PowerShell

In diesem Artikel werden PowerShell-Cmdlets verwendet. Zum Ausführen der Cmdlets können Sie Azure Cloud Shell verwenden. Cloud Shell ist eine kostenlose interaktive Shell, mit der Sie die Schritte in diesem Artikel ausführen können. Es hat allgemeine Azure Tools vorinstalliert und für die Verwendung mit Ihrem Konto konfiguriert.

Um Cloud Shell zu öffnen, wählen Sie einfach Open Cloudshell in der oberen rechten Ecke eines Codeblocks aus. Sie können Cloud Shell auch in einem separaten Browser-Tab öffnen, indem Sie zu https://shell.azure.com/powershell wechseln. Wählen Sie Copy aus, um die Codeblöcke zu kopieren, in Cloud Shell einzufügen, und wählen Sie die EINGABETASTE aus, um sie auszuführen.

Sie können auch die Azure PowerShell Cmdlets lokal auf Ihrem Computer installieren und ausführen. PowerShell-Cmdlets werden regelmäßig aktualisiert. Wenn Sie nicht die aktuelle Version installiert haben, kann es bei Verwendung der in den Anweisungen angegebenen Werte zu Fehlern kommen. Verwenden Sie das Cmdlet Get-Module -ListAvailable Az, um die auf Ihrem Computer installierten Versionen von Azure PowerShell zu finden. Informationen zum Installieren oder Aktualisieren finden Sie unter Installieren des moduls Azure PowerShell.

Beispielwerte

Sie können beim Erstellen dieser Konfiguration die folgenden Beispielwerte verwenden oder Ihre eigenen Werte einsetzen.

Beispiel-VNet- und VM-Werte:

Name	Wert
Virtueller Computer	TestVM
Ressourcengruppe	TestRG1
Region	USA, Osten
Virtuelles Netzwerk	VNet1
Adressraum	10.1.0.0/16
Subnetze	FrontEnd: 10.1.0.0/24

Azure Bastion-Werte:

Name	Wert
Name	VNet1-bastion
Subnetzname	FrontEnd
Subnetzname	AzureBastionSubnet
AzureBastionSubnet-Adressen	Ein Subnetz innerhalb Ihres virtuellen Netzwerkadressraums mit einer Subnetzmaske /26 oder größer. Beispiel: 10.1.1.0/26.
Artikelnummer (SKU)	Standard
Öffentliche IP-Adresse	Neu erstellen
Name der öffentlichen IP-Adresse	VNet1-ip
SKU der öffentlichen IP-Adresse	Standard
Abtretung	Statisch

Bereitstellen von Bastion

In diesem Abschnitt können Sie mithilfe von Azure PowerShell ein virtuelles Netzwerk, Subnetze und Azure Bastion bereitstellen.

Wichtig

Die Stundenpreise gelten ab dem Zeitpunkt der Bereitstellung von Bastion, unabhängig von der Nutzung ausgehender Daten. Weitere Informationen dazu finden Sie unter Preise und SKUs. Wenn Sie Bastion im Rahmen eines Tutorials oder Tests bereitstellen, empfiehlt es sich, diese Ressource zu löschen, sobald Sie sie nicht mehr benötigen.

Erstellen Sie eine Ressourcengruppe, ein virtuelles Netzwerk und ein Front-End-Subnetz, mit dem Sie die VMs bereitstellen, mit denen Sie eine Verbindung über Bastion herstellen werden. Wenn Sie PowerShell lokal ausführen, öffnen Sie Ihre PowerShell-Konsole mit erhöhten Rechten, und stellen Sie mithilfe des Befehls Connect-AzAccount eine Verbindung mit Azure her.
```
New-AzResourceGroup -Name TestRG1 -Location EastUS ` 
$frontendSubnet = New-AzVirtualNetworkSubnetConfig -Name FrontEnd `
-AddressPrefix "10.1.0.0/24" ` 
$virtualNetwork = New-AzVirtualNetwork `
-Name TestVNet1 -ResourceGroupName TestRG1 `
-Location EastUS -AddressPrefix "10.1.0.0/16" `
-Subnet $frontendSubnet ` 
$virtualNetwork | Set-AzVirtualNetwork
```
Konfigurieren und festlegen Sie das Azure Bastion Subnetz für Ihr virtuelles Netzwerk. Dieses Subnetz ist ausschließlich für Azure Bastion Ressourcen reserviert. Sie müssen dieses Subnetz mit dem Namenswert AzureBastionSubnet erstellen. Dieser Wert informiert Azure, welches Subnetz die Bastion-Ressourcen bereitstellen soll. Das Beispiel im folgenden Abschnitt hilft Ihnen, einem vorhandenen VNet ein Azure Bastion Subnetz hinzuzufügen.
- Die kleinste AzureBastionSubnet-Subnetzgröße, die Sie erstellen können, ist /26. Es wird empfohlen, mindestens die Größe /26 zu verwenden, um die Hostskalierung zu ermöglichen.
  - Weitere Informationen zur Skalierung finden Sie unter Konfigurationseinstellungen - Hostskalierung.
  - Weitere Informationen zu Einstellungen finden Sie unter Konfigurationseinstellungen - AzureBastionSubnet.
- Erstellen Sie AzureBastionSubnet ohne Routentabellen oder Delegierungen.
- Weitere Informationen zum Verwenden von Netzwerksicherheitsgruppen in AzureBastionSubnet finden Sie im Artikel Arbeiten mit Netzwerksicherheitsgruppen.
Legen Sie die Variable fest.
```
$vnet = Get-AzVirtualNetwork -Name "TestVNet1" -ResourceGroupName "TestRG1"
```
Fügen Sie das Subnetz hinzu.
```
Add-AzVirtualNetworkSubnetConfig `
-Name "AzureBastionSubnet" -VirtualNetwork $vnet `
-AddressPrefix "10.1.1.0/26" | Set-AzVirtualNetwork
```
Erstellen Sie eine öffentliche IP-Adresse für Azure Bastion. Die öffentliche IP-Adresse ist die öffentliche IP-Adresse der Bastion-Ressource für den RDP-/SSH-Zugriff (über Port 443). Die öffentliche IP-Adresse muss sich in der gleichen Region befinden wie die Bastion-Ressource, die Sie erstellen.
```
$publicip = New-AzPublicIpAddress -ResourceGroupName "TestRG1" `
-name "VNet1-ip" -location "EastUS" `
-AllocationMethod Static -Sku Standard
```
Erstellen Sie eine neue Azure Bastion Ressource im AzureBastionSubnet mithilfe des Befehls New-AzBastion. Das folgende Beispiel verwendet die Basic-SKU. Sie können Bastion jedoch auch mithilfe einer anderen SKU bereitstellen, indem Sie den -Sku-Wert ändern. Die ausgewählte SKU bestimmt die Bastion-Features und stellt mithilfe weiterer Verbindungstypen eine Verbindung mit virtuellen Computern her. Weitere Informationen finden Sie unter Bastion-SKUs.
```
New-AzBastion -ResourceGroupName "TestRG1" -Name "VNet1-bastion" `
-PublicIpAddressRgName "TestRG1" -PublicIpAddressName "VNet1-ip" `
-VirtualNetworkRgName "TestRG1" -VirtualNetworkName "TestVNet1" `
-Sku "Basic"
```
Die Bereitstellung der Bastion-Ressourcen dauert etwa 10 Minuten. Sie können im nächsten Abschnitt einen virtuellen Computer erstellen, während Bastion in Ihrem virtuellen Netzwerk bereitgestellt wird.

Erstellen einer VM

Sie können einen virtuellen Computer mithilfe der Artikel Schnellstart: Erstellen eines virtuellen Computers mithilfe von PowerShell oder Schnellstart: Erstellen eines virtuellen Computers über das Portal erstellen. Stellen Sie sicher, dass Sie die VM im gleichen virtuellen Netzwerk bereitstellen, in dem Sie Bastion bereitgestellt haben. Die von Ihnen in diesem Abschnitt erstellte VM ist kein Teil der Bastion-Konfiguration und wird nicht zu einem Bastionhost. Sie stellen später in diesem Tutorial über Bastion eine Verbindung mit dieser VM her.

Die folgenden Rollen sind für Ihre Ressourcen erforderlich.

Erforderliche VM-Rollen:
- Rolle „Leser“ für die virtuelle Maschine
- Rolle „Leser“ auf der Netzwerkschnittstellenkarte mit privater IP-Adresse des virtuellen Computers
Erforderliche Ports für eingehenden Datenverkehr:
- Für Windows VMS – RDP (3389)
- Für Linux-VMs: SSH (22)

Herstellen einer Verbindung mit einem virtuellen Computer

Sie können die Verbindungsschritte im folgenden Abschnitt verwenden, um eine Verbindung mit Ihrer VM herzustellen. Sie können auch einen der folgenden Artikel verwenden, um eine Verbindung mit einem virtuellen Computer herzustellen. Für einige Verbindungstypen ist die Standard-SKU für Bastion erforderlich.

Herstellen einer Verbindung mit einer Windows VM
- RDP
- SSH
Herstellen einer Verbindung mit einem virtuellen Linux-Computer
- SSH
Verbinden Sie sich mit einem Scale Set
Verbinden Sie sich über eine IP-Adresse
Verbindung mit einem nativen Client herstellen
- Windows Client
- Linux/SSH Client

Verbindungsschritte

Wechseln Sie im Azure-Portal zu dem virtuellen Computer, mit dem Sie eine Verbindung herstellen möchten.
Wählen Sie oben im Fenster Verbinden>Bastion, um zum Fenster Bastion zu gelangen. Sie gelangen auch über das linke Menü zum Bereich Bastion.
Die im Bereich Bastion verfügbaren Optionen hängen von der Bastion-SKU ab.

Wenn Sie die Standard- oder höhere SKU verwenden, stehen weitere Verbindungsprotokoll- und Portoptionen zur Verfügung. Erweitern Sie Verbindungseinstellungen, um die Optionen anzuzeigen. In der Regel stellen Sie eine Verbindung mit einem Windows Computer mithilfe von RDP und Port 3389 her, es sei denn, Sie konfigurieren unterschiedliche Einstellungen für Ihren virtuellen Computer. Sie stellen eine Verbindung mit einem Linux-Computer mithilfe von SSH und Port 22 her.

Wenn Sie die Basic SKU verwenden, stellen Sie mithilfe von RDP und Port 3389 eine Verbindung mit einem Windows Computer her. Stellen Sie für die SKU „Basic“ eine Verbindung mit einem Linux-Computer mithilfe von SSH und Port 22 her. Es gibt keine Möglichkeit, die Portnummer oder das Protokoll zu ändern. Sie können jedoch die Tastatursprache für RDP ändern, indem Sie Verbindungseinstellungen in diesem Bereich erweitern.

Wenn Sie die Entwickler-SKU verwenden, wird Bastion automatisch bereitgestellt, wenn Sie zum ersten Mal eine Verbindung herstellen. Sie stellen mithilfe von RDP und Port 3389 oder über SSH und Port 22 eine Verbindung mit einem Windows Computer her. Die Entwickler-SKU verwendet eine Gemeinsame Poolarchitektur und ist ohne zusätzliche Kosten in ausgewählten Regionen verfügbar.
Wählen Sie für Authentifizierungstyp den Authentifizierungstyp aus der Dropdown-Liste aus. Das Protokoll bestimmt die verfügbaren Authentifizierungstypen. Geben Sie die erforderlichen Authentifizierungswerte vollständig ein.
Um die VM-Sitzung in einer neuen Browserregisterkarte zu öffnen, lassen Sie In neuer Browserregisterkarte öffnen aktiviert.
Wählen Sie Verbinden aus, um die Verbindung zum virtuellen Computer herzustellen.
Vergewissern Sie sich, dass die Verbindung mit dem virtuellen Computer direkt im Azure-Portal (über HTML5) mit Port 443 und dem Bastion-Dienst geöffnet wird.

Wenn Sie Tastenkombinationen verwenden, während Sie mit einem virtuellen Computer verbunden sind, kann das Verhalten anders sein als bei der Verwendung von Tastenkombinationen auf einem lokalen Computer. Wenn Sie beispielsweise über einen Windows-Client eine Verbindung mit einer Windows-VM hergestellt haben, ist STRG+ALT+ENDE die Tastenkombination für STRG+ALT+ENTF auf einem lokalen Computer. Um dies auf einem Mac zu tun, während Sie mit einer Windows-VM verbunden sind, verwenden Sie die Tastenkombination fn+control+Option+delete.

So aktivieren Sie die Audioausgabe

Sie können die Remoteaudioausgabe für Ihren virtuellen Computer aktivieren. Einige VMs aktivieren diese Einstellung automatisch, andere erfordern, dass Sie Audioeinstellungen manuell aktivieren. Die Einstellungen werden auf dem virtuellen Computer selbst geändert. Ihre Bastion-Bereitstellung benötigt keine speziellen Konfigurationseinstellungen, um die Remoteaudioausgabe zu aktivieren. Die Audioeingabe wird derzeit nicht unterstützt.

Hinweis

Die Audioausgabe beansprucht eine gewisse Bandbreite Ihrer Internetverbindung.

So aktivieren Sie die Remoteaudioausgabe auf einer Windows VM:

Nachdem Sie eine Verbindung mit der VM hergestellt haben, wird in der rechten unteren Ecke der Symbolleiste eine Audioschaltfläche angezeigt. Klicken Sie mit der rechten Maustaste auf die Audioschaltfläche, und wählen Sie Sounds aus.
Eine Popupnachricht fragt, ob Sie den Windows Audiodienst aktivieren möchten. Wählen Sie Ja aus. Sie können weitere Audiooptionen unter Soundeinstellungen konfigurieren.
Bewegen Sie den Mauszeiger über die Audioschaltfläche auf der Symbolleiste, um die Audioausgabe zu überprüfen.

Entfernen einer öffentlichen IP-Adresse einer VM

Azure Bastion verwendet nicht die öffentliche IP-Adresse, um eine Verbindung mit dem virtuellen Clientcomputer herzustellen. Wenn Sie die öffentliche IP-Adresse für Ihre VM nicht benötigen, können Sie die Zuordnung der öffentlichen IP-Adresse aufheben. Mehr dazu finden Sie unter Trennen einer öffentlichen IP-Adresse von einem virtuellen Azure-Computer.

Nächste Schritte

Informationen zur Verwendung von Netzwerksicherheitsgruppen mit dem Azure Bastion Subnetz finden Sie unter Work with NSGs.
Informationen zum Verständnis von VNet-Peering finden Sie unter Virtual Network Peering und Azure Bastion.

Feedback

War diese Seite hilfreich?

Last updated on 2026-03-06