توزيع Bastion باستخدام Azure CLI

توضح لك هذه المقالة كيفية توزيع Azure Bastion باستخدام CLI. Azure Bastion هي خدمة PaaS يتم صيانتها لك، وليست مضيفاً أساسياً تقوم بتثبيته على الجهاز الظاهري الخاص بك وصيانته بنفسك. يتم توزيع Azure Bastion لكل شبكة ظاهرية، وليس لكل اشتراك/حساب أو جهاز ظاهري. لمعرفة مزيد من المعلومات بخصوص Azure Bastion، راجع ما هو Azure Bastion؟

بمجرد توزيع Bastion على شبكتك الظاهرية، يمكنك الاتصال بأجهزة VM الخاصة بك عبر عنوان IP الخاص. تتوفر تجربة RDP/SSH السلسة لجميع الأجهزة الظاهرية في نفس الشبكة الظاهرية. إذا كان جهاز VM الخاص بك يحتوي على عنوان IP عام لا تحتاجه لأي شيء آخر، فيمكنك إزالته.

في هذه المقالة، يمكنك إنشاء شبكة ظاهرية (إذا لم يكن لديك واحدة بالفعل)، ونشر Azure Bastion باستخدام CLI، والاتصال بجهاز ظاهري. يمكنك أيضاً توزيع Bastion باستخدام الطرق الأخرى التالية:

• مدخل Microsoft Azure
• Azure PowerShell
• التشغيل السريع - التوزيع بالإعدادات الافتراضية

قبل البدء

اشتراك Azure

تحقق من أن لديك اشتراك Azure. إذا لم يكن لديك اشتراك Azure بالفعل، يمكنك تنشيط ميزات المشترك في MSDN خاصتك أو الاشتراك في حساب مجاني.

Azure CLI

تستخدم هذه المقالة Azure CLI. لتشغيل الأوامر، يمكنك استخدام Azure Cloud Shell. Azure Cloud Shell هو shell تفاعلية مجانية التي يمكنك استخدامها لتشغيل الخطوات في هذه المقالة. يحتوي على أدوات Azure الشائعة المثبتة مسبقًا والمهيئة للاستخدام مع حسابك.

لفتح Cloud Shell، ما عليك سوى تحديد جربه من الزاوية اليمنى العليا من مجموعة التعليمات البرمجية. يمكنك أيضاً تشغيل Cloud Shell في علامة تبويب متصفح منفصلة بالانتقال إلى https://shell.azure.com وتبديل القائمة المنسدلة في الزاوية اليسرى لإظهار Bash أو PowerShell. حدد "Copy" لنسخ كتل التعليمة البرمجية، ولصقها في Cloud Shell، ثم اضغط على "enter" لتشغيلها.

توزيع Bastion

يساعدك هذا القسم في توزيع Azure Bastion باستخدام Azure CLI.

1. إذا لم يكن لديك شبكة ظاهرية بالفعل، فبادر بإنشاء مجموعة موارد وشبكة ظاهرية باستخدام az group create وaz network vnet create.

   az group create --name TestRG1 --location eastus
   

   az network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24
   

2. استخدم az network vnet subnet create لإنشاء الشبكة الفرعية التي سيتم نشر Bastion إليها. يجب تسمية الشبكة الفرعية التي تقوم بإنشائها باسم AzureBastionSubnet. هذه الشبكة الفرعية محجوزة حصريا لموارد Azure Bastion. إذا لم يكن لديك شبكة فرعية بقيمة التسمية AzureBastionSubnet، فلن يتم نشر Bastion.

   • أصغر حجم للشبكة الفرعية AzureBastionSubnet يمكنك إنشاؤه هو/26. نوصي بإنشاء حجم/26 أو أكبر لملاءمة تحجيم المضيف.
     • لمزيد من المعلومات حول القياس، راجع إعدادات التكوين - تحجيم المضيف.
     • لمزيد من المعلومات حول الإعدادات، راجع إعدادات التكوين - AzureBastionSubnet.
   • قم بإنشاء AzureBastionSubnet دون أي جداول توجيه أو تفويضات.
   • إذا كنت تستخدم مجموعات أمان الشبكة في AzureBastionSubnet، فراجع مقالة العمل مع مجموعات NSG.

   az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26
   

3. قم بإنشاء عنوان IP عام لـ Azure Bastion. عنوان IP العام هو عنوان IP العام الخاص بمورد Bastion والذي يتم الوصول من خلاله إلى RDP/SSH (عبر المنفذ 443). يجب أن يكون عنوان IP العام في نفس منطقة مورد Bastion الذي تقوم بإنشائه. لهذا السبب، انتبه بشكل خاص إلى --location القيمة التي تحددها.

   az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastus
   

4. استخدم az network bastion create لإنشاء مورد Azure Bastion جديد لشبكتك الظاهرية. يستغرق إنشاء مورد Bastion وتوزيعه حوالي 10 دقائق.

   ينشر المثال التالي Bastion باستخدام طبقة SKU الأساسية . يمكنك أيضا النشر باستخدام وحدات SKU أخرى. تحدد SKU الميزات التي يدعمها توزيع Bastion. إذا لم تحدد SKU في الأمر الخاص بك، تعيين SKU افتراضيا إلى Standard. لمزيد من المعلومات، راجع Bastion SKUs.

   az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic
   

الاتصال بجهاز ظاهري

إذا لم يكن لديك بالفعل أجهزة ظاهرية في شبكتك الظاهرية، يمكنك إنشاء جهاز ظاهري باستخدام التشغيل السريع: إنشاء جهاز ظاهري يعمل بنظام Windows، أو التشغيل السريع: إنشاء جهاز ظاهري يعمل بنظام Linux

يمكنك استخدام أي من المقالات التالية، أو الخطوات الواردة في القسم التالي، لمساعدتك على الاتصال بجهاز ظاهري. تتطلب بعض أنواع الاتصال وحدة SKU القياسية Bastion أو أعلى.

• الاتصال بجهاز ظاهري يعمل بنظام Windows
  • RDP
  • SSH
• الاتصال ب Linux VM
  • SSH
• التوصيل بمجموعة تغيير الحجم
• الاتصال عبر عنوان IP
• الاتصال من عميل أصلي
  • عميل Windows
  • عميل Linux/SSH

الاتصال باستخدام المدخل

ترشدك الخطوات التالية خلال نوع واحد من الاتصال باستخدام مدخل Microsoft Azure.

1. في مدخل Microsoft Azure، انتقل إلى الجهاز الظاهري الذي تريد الاتصال به.

2. في أعلى الجزء، حدد Connect>Bastion للانتقال إلى جزء Bastion. يمكنك أيضا الانتقال إلى جزء Bastion باستخدام القائمة اليسرى.

3. تعتمد الخيارات المتوفرة في جزء Bastion على Bastion SKU.

   إذا كنت تستخدم Basic SKU، يمكنك الاتصال بكمبيوتر Windows باستخدام RDP والمنفذ 3389. أيضا بالنسبة إلى Basic SKU، يمكنك الاتصال بكمبيوتر Linux باستخدام SSH والمنفذ 22. ليس لديك خيارات لتغيير رقم المنفذ أو البروتوكول. ومع ذلك، يمكنك تغيير لغة لوحة المفاتيح ل RDP عن طريق توسيع إعدادات الاتصال في هذا الجزء.

   إذا كنت تستخدم SKU القياسي، فلديك المزيد من خيارات بروتوكول الاتصال والمنفذ المتوفرة. قم بتوسيع إعدادات الاتصال لمشاهدة الخيارات. عادة، ما لم تقم بتكوين إعدادات مختلفة لجهازك الظاهري، يمكنك الاتصال بكمبيوتر Windows باستخدام RDP والمنفذ 3389. يمكنك الاتصال بكمبيوتر Linux باستخدام SSH والمنفذ 22.

4. بالنسبة إلى نوع المصادقة، حدد نوع المصادقة من القائمة المنسدلة. يحدد البروتوكول أنواع المصادقة المتوفرة. أكمل قيم المصادقة المطلوبة.

5. لفتح جلسة عمل الجهاز الظاهري في علامة تبويب مستعرض جديدة، اترك Open in new browser tab محددا.

6. حدد الاتصال للاتصال بجهاز VM.

7. تأكد من أن الاتصال بالجهاز الظاهري يفتح مباشرة في مدخل Azure (عبر HTML5) باستخدام المنفذ 443 وخدمة Bastion.

قد لا يؤدي استخدام مفاتيح اختصار لوحة المفاتيح أثناء الاتصال بجهاز ظاهري إلى نفس سلوك مفاتيح الاختصار على كمبيوتر محلي. على سبيل المثال، عندما تكون متصلا بجهاز ظاهري يعمل بنظام Windows من عميل Windows، فإن Ctrl+Alt+End هو اختصار لوحة المفاتيح ل Ctrl+Alt+Delete على كمبيوتر محلي. للقيام بذلك من جهاز Mac أثناء الاتصال بجهاز ظاهري يعمل بنظام Windows، يكون اختصار لوحة المفاتيح هو fn+control+option+delete.

لتمكين إخراج الصوت

يمكنك تمكين إخراج الصوت عن بعد لجهاز VM الخاص بك. تقوم بعض الأجهزة الظاهرية بتمكين هذا الإعداد تلقائيا، بينما تتطلب منك الأجهزة الأخرى تمكين إعدادات الصوت يدويا. يتم تغيير الإعدادات على الجهاز الظاهري نفسه. لا يحتاج توزيع Bastion إلى أي إعدادات تكوين خاصة لتمكين إخراج الصوت عن بُعد.

لتمكين إخراج الصوت عن بُعد على جهاز Windows VM:

1. بعد الاتصال بالجهاز الظاهري، يظهر زر صوت في الزاوية السفلية اليسرى من شريط الأدوات. انقر بزر الماوس الأيمن فوق زر الصوت، ثم حدد الأصوات.
2. تسألك رسالة منبثقة عما إذا كنت تريد تمكين خدمة الصوت في Windows. حدد نعم. يمكنك تكوين المزيد من خيارات الصوت في تفضيلات الصوت.
3. للتحقق من إخراج الصوت، مرر الماوس فوق زر الصوت على شريط الأدوات.

إزالة عنوان IP العام للجهاز الظاهري

لا يستخدم Azure Bastion عنوان IP العام للاتصال بالعميل الظاهري. إذا لم تكن بحاجة إلى عنوان IP العام لجهازك الظاهري، فيمكنك إلغاء ارتباط عنوان IP العام. راجع فصل عنوان IP العام عن Azure VM.

الخطوات التالية

• لاختيار استخدام مجموعات أمان الشبكة مع شبكة Azure Bastion الفرعية، انظر العمل مع مجموعات أمان الشبكة.
• لفهم نظير VNet، راجع نظير VNet وAzure Bastion.