Azure PowerShell kullanarak Bastion'ı dağıtma
Bu makalede PowerShell kullanarak Azure Bastion'ın nasıl dağıtılacağı gösterilmektedir. Azure Bastion, VM'nize yüklediğiniz ve kendi bakımınızı yaptığınız bir savunma konağı değil, sizin için korunan bir PaaS hizmetidir. Azure Bastion dağıtımı, abonelik/hesap veya sanal makine başına değil, sanal ağ başınadır. Azure Bastion hakkında daha fazla bilgi için bkz. Azure Bastion nedir?
Bastion'ı sanal ağınıza dağıttığınızda vm'lerinize özel IP adresi üzerinden bağlanabilirsiniz. Bu sorunsuz RDP/SSH deneyimi, aynı sanal ağdaki tüm VM'ler tarafından kullanılabilir. VM'nizde başka hiçbir şey için ihtiyacınız olmayan bir genel IP adresi varsa, vm'yi kaldırabilirsiniz.
Bu makalede bir sanal ağ oluşturacaksınız (henüz yoksa), PowerShell kullanarak Azure Bastion'ı dağıtacak ve bir VM'ye bağlanacaksınız. Örneklerde Standart SKU katmanı kullanılarak dağıtılan Bastion gösterilmektedir, ancak kullanmak istediğiniz özelliklere bağlı olarak farklı bir Bastion SKU'su kullanabilirsiniz. Daha fazla bilgi için bkz . Bastion SKU'ları.
Bastion'ı aşağıdaki diğer yöntemleri kullanarak da dağıtabilirsiniz:
Not
Azure Bastion'ın Azure Özel DNS bölgeleriyle kullanılması desteklenir. Ancak bazı kısıtlamalar vardır. Daha fazla bilgi için bkz . Azure Bastion SSS.
Başlamadan önce
Azure aboneliğiniz olduğunu doğrulayın. Henüz Azure aboneliğiniz yoksa MSDN abonelik avantajlarınızı etkinleştirebilir veya ücretsiz bir hesap için kaydolabilirsiniz.
PowerShell
Bu makalede PowerShell cmdlet'leri kullanılır. Cmdlet'leri çalıştırmak için Azure Cloud Shell'i kullanabilirsiniz. Cloud Shell, bu makaledeki adımları çalıştırmak için kullanabileceğiniz ücretsiz bir etkileşimli kabukdur. Yaygın Azure araçları, kabuğa önceden yüklenmiştir ve kabuk, hesabınızla birlikte kullanılacak şekilde yapılandırılmıştır.
Cloud Shell'i açmak için bir kod bloğunun sağ üst köşesinden CloudShell'i Aç'ı seçmeniz gerekir. Cloud Shell'i adresine giderek https://shell.azure.com/powershellayrı bir tarayıcı sekmesinde de açabilirsiniz. Kod bloklarını kopyalamak için Kopyala'yı seçin, bunları Cloud Shell'e yapıştırın ve çalıştırmak için Enter tuşunu seçin.
Ayrıca Azure PowerShell cmdlet'lerini bilgisayarınıza yerel olarak yükleyebilir ve çalıştırabilirsiniz. PowerShell cmdlet'leri sık sık güncelleştirilir. En son sürümü yüklemediyseniz, yönergelerde belirtilen değerler başarısız olabilir. Bilgisayarınızda yüklü Azure PowerShell sürümlerini bulmak için cmdlet'ini Get-Module -ListAvailable Az kullanın. Yüklemek veya güncelleştirmek için bkz . Azure PowerShell modülünü yükleme.
Örnek değerler
Bu yapılandırmayı oluştururken aşağıdaki örnek değerleri kullanabilir veya kendi yapılandırmanızı değiştirebilirsiniz.
Örnek sanal ağ ve VM değerleri:
| Ad | Value |
|---|---|
| Sanal makine | TestVM |
| Kaynak grubu | TestRG1 |
| Bölge | Doğu ABD |
| Sanal ağ | VNet1 |
| Adres alanı | 10.1.0.0/16 |
| Alt ağlar | Ön Uç: 10.1.0.0/24 |
Azure Bastion değerleri:
| Ad | Value |
|---|---|
| Veri Akışı Adı | VNet1-bastion |
| Alt Ağ Adı | FrontEnd |
| Alt Ağ Adı | AzureBastionSubnet |
| AzureBastionSubnet adresleri | Sanal ağ adres alanınızda /26 veya daha büyük bir alt ağ maskesine sahip bir alt ağ. Örneğin, 10.1.1.0/26. |
| Katman/SKU | Standart |
| Genel IP adresi | Özel programlamayı kullanmadan, yeni |
| Genel IP adresi adı | VNet1-ip |
| Genel IP adresi SKU’su | Standart |
| Atama | Statik |
Bastion’ı dağıtma
Bu bölüm, Azure PowerShell kullanarak bir sanal ağ, alt ağlar oluşturmanıza ve Azure Bastion'ı dağıtmanıza yardımcı olur.
Önemli
Saatlik fiyatlandırma, giden veri kullanımına bakılmaksızın Bastion dağıtıldığından itibaren başlar. Daha fazla bilgi için bkz . Fiyatlandırma ve SKU'lar. Bastion'ı bir öğretici veya test kapsamında dağıtıyorsanız, kullanmayı bitirdikten sonra bu kaynağı silmenizi öneririz.
Bastion aracılığıyla bağlanacağınız VM'leri dağıtacağınız bir kaynak grubu, sanal ağ ve bir ön uç alt ağı oluşturun. PowerShell'i yerel olarak çalıştırıyorsanız yükseltilmiş ayrıcalıklarla PowerShell konsolunuzu açın ve komutunu kullanarak Azure'a bağlanın
Connect-AzAccount.New-AzResourceGroup -Name TestRG1 -Location EastUS ` $frontendSubnet = New-AzVirtualNetworkSubnetConfig -Name FrontEnd ` -AddressPrefix "10.1.0.0/24" ` $virtualNetwork = New-AzVirtualNetwork ` -Name TestVNet1 -ResourceGroupName TestRG1 ` -Location EastUS -AddressPrefix "10.1.0.0/16" ` -Subnet $frontendSubnet ` $virtualNetwork | Set-AzVirtualNetworkSanal ağınız için Azure Bastion alt ağını yapılandırın ve ayarlayın. Bu alt ağ yalnızca Azure Bastion kaynakları için ayrılmıştır. Bu alt ağı AzureBastionSubnet ad değerini kullanarak oluşturmanız gerekir. Bu değer, Azure'ın Bastion kaynaklarının dağıtılacağı alt ağı bilmesini sağlar. Aşağıdaki bölümdeki örnek, mevcut bir sanal ağa Azure Bastion alt ağı eklemenize yardımcı olur.
- Oluşturabileceğiniz en küçük AzureBastionSubnet alt ağı boyutu /26'dır. Konak ölçeklendirmesine uyum sağlamak için /26 veya daha büyük bir boyut oluşturmanızı öneririz.
- Ölçeklendirme hakkında daha fazla bilgi için bkz . Yapılandırma ayarları - Konak ölçeklendirme.
- Ayarlar hakkında daha fazla bilgi için bkz . Yapılandırma ayarları - AzureBastionSubnet.
- AzureBastionSubnet'i herhangi bir yol tablosu veya temsilci olmadan oluşturun.
- AzureBastionSubnet'te Ağ Güvenlik Grupları kullanıyorsanız NSG'lerle çalışma makalesine bakın.
Değişkenini ayarlayın.
$vnet = Get-AzVirtualNetwork -Name "TestVNet1" -ResourceGroupName "TestRG1"Alt ağı ekleyin.
Add-AzVirtualNetworkSubnetConfig ` -Name "AzureBastionSubnet" -VirtualNetwork $vnet ` -AddressPrefix "10.1.1.0/26" | Set-AzVirtualNetwork- Oluşturabileceğiniz en küçük AzureBastionSubnet alt ağı boyutu /26'dır. Konak ölçeklendirmesine uyum sağlamak için /26 veya daha büyük bir boyut oluşturmanızı öneririz.
Azure Bastion için genel bir IP adresi oluşturun. Genel IP, RDP/SSH'nin erişileceği Bastion kaynağının genel IP adresidir (bağlantı noktası 443 üzerinden). Genel IP adresi, oluşturduğunuz Bastion kaynağıyla aynı bölgede olmalıdır.
$publicip = New-AzPublicIpAddress -ResourceGroupName "TestRG1" ` -name "VNet1-ip" -location "EastUS" ` -AllocationMethod Static -Sku StandardNew-AzBastion komutunu kullanarak AzureBastionSubnet'te yeni bir Azure Bastion kaynağı oluşturun. Aşağıdaki örnek Temel SKU'yu kullanır. Bununla birlikte, -Sku değerini değiştirerek Bastion'ı farklı bir SKU kullanarak da dağıtabilirsiniz. Seçtiğiniz SKU, Bastion özelliklerini belirler ve daha fazla bağlantı türü kullanarak VM'lere bağlanır. Daha fazla bilgi için bkz . Bastion SKU'ları.
New-AzBastion -ResourceGroupName "TestRG1" -Name "VNet1-bastion" ` -PublicIpAddressRgName "TestRG1" -PublicIpAddressName "VNet1-ip" ` -VirtualNetworkRgName "TestRG1" -VirtualNetworkName "TestVNet1" ` -Sku "Basic"Bastion kaynaklarının dağıtılması yaklaşık 10 dakika sürer. Bastion sanal ağınıza dağıtılırken sonraki bölümde vm oluşturabilirsiniz.
VM oluşturma
Hızlı Başlangıç: PowerShell kullanarak VM oluşturma veya Hızlı Başlangıç: Portal makalelerini kullanarak VM oluşturma makalelerini kullanarak VM oluşturabilirsiniz. VM'yi Bastion'ı dağıttığınız sanal ağa dağıttığınıza emin olun. Bu bölümde oluşturduğunuz VM, Bastion yapılandırmasının bir parçası değildir ve bir savunma konağı haline gelmez. Bu öğreticinin devamında Bastion aracılığıyla bu VM'ye bağlanacaksınız.
Kaynaklarınız için aşağıdaki gerekli roller.
Gerekli VM rolleri:
- Sanal makinedeki okuyucu rolü.
- Sanal makinenin özel IP'sine sahip NIC'de okuyucu rolü.
Gerekli gelen bağlantı noktaları:
- Windows VMS için - RDP (3389)
- Linux VM'leri için - SSH (22)
Sanal makineye bağlanma
Vm'nize bağlanmak için aşağıdaki bölümdeki Bağlantı adımlarını kullanabilirsiniz. Vm'ye bağlanmak için aşağıdaki makalelerden herhangi birini de kullanabilirsiniz. Bazı bağlantı türleri Için Bastion Standard SKU gerekir.
- Windows VM'sine bağlanma
- Linux VM'sine bağlanma
- Ölçek kümesine bağlanma
- IP adresi üzerinden bağlanma
- Yerel istemciden bağlanma
Bağlantı adımları
Azure portalında bağlanmak istediğiniz sanal makineye gidin.
Bölmenin üst kısmında Bastion'a Bağlan'ı seçerek Bastion bölmesine gidin.> Sol menüyü kullanarak Bastion bölmesine de gidebilirsiniz.
Bastion bölmesindeki seçenekler Bastion SKU'sunun kullanımına bağlıdır. Temel SKU kullanıyorsanız RDP ve 3389 numaralı bağlantı noktasını kullanarak bir Windows bilgisayara bağlanırsınız. Ayrıca Temel SKU için SSH ve bağlantı noktası 22 kullanarak bir Linux bilgisayara bağlanırsınız. Bağlantı noktası numarasını veya protokolü değiştirme seçenekleriniz yoktur. Ancak, Bağlantı Ayarları'nı genişleterek RDP'nin klavye dilini değiştirebilirsiniz.
Standart SKU kullanıyorsanız, daha fazla bağlantı protokolü ve bağlantı noktası seçeneğiniz vardır. Seçenekleri görmek için Bağlantı Ayarları'nı genişletin. Genellikle, VM'niz için farklı ayarlar yapılandırmadığınız sürece RDP ve bağlantı noktası 3389 kullanarak bir Windows bilgisayara bağlanırsınız. SSH ve bağlantı noktası 22'yi kullanarak bir Linux bilgisayara bağlanırsınız.
Kimlik Doğrulama Türü için açılan listeden öğesini seçin. Protokol, kullanılabilir kimlik doğrulama türlerini belirler. Gerekli kimlik doğrulama değerlerini tamamlayın.
VM oturumunu yeni bir tarayıcı sekmesinde açmak için Yeni tarayıcıda aç sekmesini seçili bırakın.
VM'ye bağlanmak için Bağlan'ı seçin.
Sanal makine bağlantısının 443 numaralı bağlantı noktasını ve Bastion hizmetini kullanarak doğrudan Azure portalında (HTML5 üzerinden) açıldığını onaylayın.
Not
Bağlandığınızda, sanal makinenin masaüstü örnek ekran görüntüsünden farklı görünür.
Vm'ye bağlıyken klavye kısayol tuşlarını kullanmak, yerel bilgisayardaki kısayol tuşlarıyla aynı davranışa neden olmayabilir. Örneğin, bir Windows istemcisinden bir Windows VM'sine bağlandığınızda, Ctrl+Alt+End, yerel bilgisayarda Ctrl+Alt+Delete klavye kısayoludur. Windows VM'sine bağlıyken bunu Mac'ten yapmak için klavye kısayolu fn+control+option+delete şeklindedir.
Ses çıkışını etkinleştirmek için
VM'niz için uzak ses çıkışını etkinleştirebilirsiniz. Bazı VM'ler bu ayarı otomatik olarak etkinleştirirken, diğerleri ses ayarlarını el ile etkinleştirmenizi gerektirir. Ayarlar VM'nin kendisinde değiştirilir. Bastion dağıtımınızın uzak ses çıkışını etkinleştirmek için özel yapılandırma ayarlarına ihtiyacı yoktur.
Not
Ses çıkışı, İnternet bağlantınızda bant genişliği kullanır.
Windows VM'de uzak ses çıkışını etkinleştirmek için:
- VM'ye bağlandıktan sonra, araç çubuğunun sağ alt köşesinde bir ses düğmesi görüntülenir. Ses düğmesine sağ tıklayın ve sesler'i seçin.
- Windows Ses Hizmeti'ni etkinleştirmek isteyip istemediğinizi soran bir açılır ileti. Evet'i seçin. Ses tercihlerinde daha fazla ses seçeneği yapılandırabilirsiniz.
- Ses çıkışını doğrulamak için araç çubuğundaki ses düğmesinin üzerine gelin.
VM genel IP adresini kaldırma
Azure Bastion, istemci VM'sine bağlanmak için genel IP adresini kullanmaz. VM'niz için genel IP adresine ihtiyacınız yoksa, genel IP adresinin ilişkilendirmesini kaldırabilirsiniz. Bkz . Azure VM'den genel IP adresini ilişkilendirme.
Sonraki adımlar
- Ağ Güvenlik Gruplarını Azure Bastion alt ağıyla kullanmak için bkz . NSG'lerle çalışma.
- Sanal ağ eşlemesini anlamak için bkz. Sanal Ağ eşlemesi ve Azure Bastion.