Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel leest u hoe u Azure Bastion implementeert met behulp van PowerShell. Azure Bastion is een PaaS-service die voor u wordt onderhouden, niet een bastionhost die u op uw VIRTUELE machine installeert en uzelf onderhoudt. Een Azure Bastion-implementatie is per virtueel netwerk, niet per abonnement/account of virtuele machine. Zie Wat is Azure Bastion? voor meer informatie over Azure Bastion
Zodra u Bastion in uw virtuele netwerk hebt geïmplementeerd, kunt u verbinding maken met uw VM's via een privé-IP-adres. Deze naadloze RDP-/SSH-ervaring is beschikbaar voor alle VM's in hetzelfde virtuele netwerk. Als uw VIRTUELE machine een openbaar IP-adres heeft dat u verder niet nodig hebt, kunt u deze verwijderen.
In dit artikel maakt u een virtueel netwerk (als u er nog geen hebt), implementeert u Azure Bastion met behulp van PowerShell en maakt u verbinding met een virtuele machine. In de voorbeelden ziet u dat Bastion is geïmplementeerd met behulp van de Standard-SKU, maar u kunt een andere Bastion-SKU gebruiken, afhankelijk van de functies die u wilt gebruiken. Zie Bastion-SKU's voor meer informatie.
U kunt Bastion ook implementeren met behulp van de volgende andere methoden:
- Azure-portal - Bastion implementeren
- Azure-portal - Bastion implementeren met standaardinstellingen en Standard-SKU
- Deploy met behulp van Azure CLI
Notitie
Het gebruik van Azure Bastion met Azure Private DNS zones wordt ondersteund. Er zijn echter beperkingen. Zie de veelgestelde vragen Azure Bastion voor meer informatie.
Voordat u begint
Controleer of u een Azure-abonnement hebt. Als u nog geen Azure abonnement hebt, kunt u de voordelen van uw MSDN-abonnee activeren of u aanmelden voor een vrij account.
Powershell
In dit artikel worden PowerShell-cmdlets gebruikt. Als u de cmdlets wilt uitvoeren, kunt u Azure Cloud Shell gebruiken. Cloud Shell is een gratis interactieve shell die u kunt gebruiken om de stappen in dit artikel uit te voeren. Het bevat algemene Azure hulpprogramma's die vooraf zijn geïnstalleerd en geconfigureerd voor gebruik met uw account.
Als u Cloud Shell wilt openen, selecteert u Open Cloudshell in de rechterbovenhoek van een codeblok. U kunt Cloud Shell ook openen op een afzonderlijk browsertabblad door naar https://shell.azure.com/powershell te gaan. Selecteer Copy om de codeblokken te kopiëren, deze in Cloud Shell te plakken en de Enter-toets te selecteren om ze uit te voeren.
U kunt de Azure PowerShell cmdlets ook lokaal op uw computer installeren en uitvoeren. PowerShell-cmdlets worden regelmatig bijgewerkt. Als u de meest recente versie niet hebt geïnstalleerd, kunnen de waarden in de instructies niet kloppen. Gebruik de cmdlet Get-Module -ListAvailable Az om de versies van Azure PowerShell op uw computer te vinden. Zie De Azure PowerShell-module installeren om deze te installeren of bij te werken.
Voorbeeldwaarden
U kunt de volgende voorbeeldwaarden gebruiken bij het maken van deze configuratie, maar u kunt ze ook vervangen door uw eigen waarden.
Voorbeeld van VNet- en VM-waarden:
| Naam | Waarde |
|---|---|
| Virtuele machine | TestVM |
| Resourcegroep | TestRG1 |
| Regio | Oost-USA |
| Virtueel netwerk | VNet1 |
| Adresruimte | 10.1.0.0/16 |
| Subnetten | FrontEnd: 10.1.0.0/24 |
Azure Bastion waarden:
| Naam | Waarde |
|---|---|
| Naam | VNet1-bastion |
| Subnetnaam | FrontEnd |
| Subnetnaam | AzureBastionSubnet |
| AzureBastionSubnet-adressen | Een subnet in de adresruimte van het virtuele netwerk met een subnetmasker /26 of groter. Bijvoorbeeld 10.1.1.0/26. |
| Artikelnummer (SKU) | Standaard |
| Openbaar IP-adres | Maak nieuw aan |
| Naam openbaar IP-adres | VNet1-ip |
| Openbaar IP-adres SKU | Standaard |
| Toewijzing | Statisch |
Bastion implementeren
Deze sectie helpt u bij het maken van een virtueel netwerk, subnetten en het implementeren van Azure Bastion met behulp van Azure PowerShell.
Belangrijk
Uurtarieven beginnen vanaf het moment dat Bastion wordt geïmplementeerd, ongeacht het uitgaande gegevensgebruik. Zie Prijzen en SKU's voor meer informatie. Als u Bastion implementeert als onderdeel van een zelfstudie of test, raden we u aan deze resource te verwijderen nadat u deze hebt gebruikt.
Maak een resourcegroep, een virtueel netwerk en een front-endsubnet waarmee u de virtuele machines implementeert waarmee u verbinding maakt via Bastion. Als u PowerShell lokaal uitvoert, opent u de PowerShell-console met verhoogde bevoegdheden en maakt u verbinding met Azure met behulp van de opdracht
Connect-AzAccount.New-AzResourceGroup -Name TestRG1 -Location EastUS ` $frontendSubnet = New-AzVirtualNetworkSubnetConfig -Name FrontEnd ` -AddressPrefix "10.1.0.0/24" ` $virtualNetwork = New-AzVirtualNetwork ` -Name TestVNet1 -ResourceGroupName TestRG1 ` -Location EastUS -AddressPrefix "10.1.0.0/16" ` -Subnet $frontendSubnet ` $virtualNetwork | Set-AzVirtualNetworkConfigureer en stel het Azure Bastion subnet voor uw virtuele netwerk in. Dit subnet is exclusief gereserveerd voor Azure Bastion resources. U moet dit subnet maken met de naamwaarde AzureBastionSubnet. Met deze waarde weet Azure op welk subnet de Bastion-resources moeten worden geïmplementeerd. In het voorbeeld in de volgende sectie kunt u een Azure Bastion subnet toevoegen aan een bestaand VNet.
- De kleinste grootte van het subnet AzureBastionSubnet die u kunt maken, is /26. U wordt aangeraden een /26 of groter formaat te maken voor het schalen van de host.
- Zie Configuratie-instellingen - Host schalen voor meer informatie over schalen.
- Zie Configuratie-instellingen - AzureBastionSubnet voor meer informatie over instellingen.
- Maak het AzureBastionSubnet zonder routetabellen of delegaties.
- Als u netwerkbeveiligingsgroepen in het AzureBastionSubnet gebruikt, raadpleegt u het artikel Werken met NSG's .
Stel de variabele in.
$vnet = Get-AzVirtualNetwork -Name "TestVNet1" -ResourceGroupName "TestRG1"Voeg het subnet toe.
Add-AzVirtualNetworkSubnetConfig ` -Name "AzureBastionSubnet" -VirtualNetwork $vnet ` -AddressPrefix "10.1.1.0/26" | Set-AzVirtualNetwork- De kleinste grootte van het subnet AzureBastionSubnet die u kunt maken, is /26. U wordt aangeraden een /26 of groter formaat te maken voor het schalen van de host.
Maak een openbaar IP-adres voor Azure Bastion. Het openbare IP-adres is het openbare IP-adres van de Bastion-resource waarop RDP/SSH wordt geopend (via poort 443). Het openbare IP-adres moet zich in dezelfde regio bevinden als de Bastion-resource die u maakt.
$publicip = New-AzPublicIpAddress -ResourceGroupName "TestRG1" ` -name "VNet1-ip" -location "EastUS" ` -AllocationMethod Static -Sku StandardMaak een nieuwe Azure Bastion-resource in AzureBastionSubnet met behulp van de opdracht New-AzBastion. In het volgende voorbeeld wordt de Basic-SKU gebruikt. U kunt Bastion echter ook implementeren met behulp van een andere SKU door de -SKU-waarde te wijzigen. De SKU die u selecteert, bepaalt de Bastion-functies en maakt verbinding met VM's met behulp van meer verbindingstypen. Zie Bastion-SKU's voor meer informatie.
New-AzBastion -ResourceGroupName "TestRG1" -Name "VNet1-bastion" ` -PublicIpAddressRgName "TestRG1" -PublicIpAddressName "VNet1-ip" ` -VirtualNetworkRgName "TestRG1" -VirtualNetworkName "TestVNet1" ` -Sku "Basic"Het duurt ongeveer 10 minuten voordat de Bastion-resources zijn uitgerold. U kunt in de volgende sectie een virtuele machine maken terwijl Bastion wordt geïmplementeerd in uw virtuele netwerk.
Een VM maken:
U kunt een virtuele machine maken met behulp van de quickstart: Een virtuele machine maken met behulp van PowerShell of quickstart: Een virtuele machine maken met behulp van de portalartikelen . Zorg ervoor dat u de VIRTUELE machine implementeert in hetzelfde virtuele netwerk waarop u Bastion hebt geïmplementeerd. De VM die u in deze sectie maakt, maakt geen deel uit van de Bastion-configuratie en wordt geen bastionhost. U maakt later in deze zelfstudie verbinding met deze VIRTUELE machine via Bastion.
De volgende vereiste rollen voor uw resources.
Vereiste VM-rollen:
- Lezerrol op de virtuele machine.
- De lezerrol op de NIC met het privé-IP-adres van de virtuele machine.
Vereiste binnenkomende poorten:
- Voor gebruik met Windows VMS - RDP (3389)
- Voor Virtuele Linux-machines - SSH (22)
Verbinding maken met een virtuele machine
U kunt de verbindingsstappen in de volgende sectie gebruiken om verbinding te maken met uw VIRTUELE machine. U kunt ook een van de volgende artikelen gebruiken om verbinding te maken met een virtuele machine. Voor sommige verbindingstypen is de Bastion Standard-SKU vereist.
- Verbinding maken met een Windows-VM
- Verbinding maken met een Virtuele Linux-machine
- Verbinding maken met een schaalset
- Verbinding maken via IP-adres
- Verbinding maken vanaf een systeemeigen client
Verbindingsstappen
Ga in de Azure-portal naar de virtuele machine waarmee u verbinding wilt maken.
Selecteer bovenaan het deelvenster Verbinding maken>Bastion om naar het deelvenster Bastion te gaan. U kunt ook naar het deelvenster Bastion gaan met behulp van het linkermenu.
De beschikbare opties in het Bastion-deelvenster zijn afhankelijk van de Bastion-SKU.
Als u de Standard- of hogere SKU gebruikt, zijn er meer verbindingsprotocol- en poortopties beschikbaar. Vouw Verbindingsinstellingen uit om de opties weer te geven. Normaal gesproken maakt u verbinding met een Windows computer met behulp van RDP en poort 3389, tenzij u verschillende instellingen voor uw virtuele machine configureert. U maakt verbinding met een Linux-computer met behulp van SSH en poort 22.
Als u de Basic SKU gebruikt, maakt u verbinding met een Windows computer met behulp van RDP en poort 3389. Ook voor de Basic-SKU maakt u verbinding met een Linux-computer met behulp van SSH en poort 22. U hebt geen opties om het poortnummer of het protocol te wijzigen. U kunt echter de toetsenbordtaal voor RDP wijzigen door de verbindingsinstellingen in dit deelvenster uit te vouwen.
Als u de developer-SKU gebruikt, wordt Bastion automatisch geïmplementeerd wanneer u voor het eerst verbinding maakt. U maakt verbinding met een Windows computer met behulp van RDP en poort 3389, of met een Linux-computer met behulp van SSH en poort 22. De developer-SKU maakt gebruik van een gedeelde poolarchitectuur en is gratis beschikbaar in bepaalde regio's.
Selecteer voor verificatietype het verificatietype in de vervolgkeuzelijst. Het protocol bepaalt de beschikbare verificatietypen. Voltooi de vereiste verificatiewaarden.
Als u de VM-sessie op een nieuw browsertabblad wilt openen, laat u Openen in nieuw browsertabblad geselecteerd.
Selecteer Verbinding maken om verbinding te maken met de virtuele machine.
Controleer of de verbinding met de virtuele machine rechtstreeks in de Azure-portal (via HTML5) wordt geopend met behulp van poort 443 en de Bastion-service.
Als u sneltoetsen gebruikt terwijl u bent verbonden met een virtuele machine, leidt dit mogelijk niet tot hetzelfde gedrag als sneltoetsen op een lokale computer. Wanneer u bijvoorbeeld verbinding hebt met een Windows VM vanaf een Windows-client, is Ctrl+Alt+End de sneltoets voor Ctrl+Alt+Delete op een lokale computer. Als u dit wilt doen vanaf een Mac terwijl u bent verbonden met een Windows VM, is de sneltoets fn+control+option+delete.
Audio-uitvoer inschakelen
U kunt externe audio-uitvoer voor uw virtuele machine inschakelen. Sommige VM's schakelen deze instelling automatisch in, terwijl andere vereisen dat u audio-instellingen handmatig inschakelt. De instellingen worden op de VIRTUELE machine zelf gewijzigd. Uw Bastion-implementatie heeft geen speciale configuratie-instellingen nodig om externe audio-uitvoer in te schakelen. Audio-invoer wordt momenteel niet ondersteund.
Notitie
Audio-uitvoer maakt gebruik van bandbreedte op uw internetverbinding.
Externe audio-uitvoer inschakelen op een Windows VM:
- Nadat u verbinding hebt gemaakt met de virtuele machine, wordt rechtsonder op de werkbalk een audioknop weergegeven. Klik met de rechtermuisknop op de audioknop en selecteer Geluiden.
- In een pop-upbericht wordt gevraagd of u de Windows audioservice wilt inschakelen. Selecteer Ja. U kunt meer audioopties configureren in geluidsvoorkeuren.
- Beweeg de muisaanwijzer over de audioknop op de werkbalk om de geluidsuitvoer te controleren.
Openbaar IP-adres van vm verwijderen
Azure Bastion gebruikt het openbare IP-adres niet om verbinding te maken met de client-VM. Als u het openbare IP-adres voor uw virtuele machine niet nodig hebt, kunt u het openbare IP-adres loskoppelen. Zie Maak de koppeling van een openbaar IP-adres met een Azure VM ongedaan.
Volgende stappen
- Zie Werk met NSG's als u netwerkbeveiligingsgroepen wilt gebruiken met het subnet Azure Bastion.
- Zie Virtual Network peering en Azure Bastion voor meer informatie over VNet-peering.