Esercitazione: Distribuire Azure Bastion usando le impostazioni specificate

Questa esercitazione illustra come distribuire Azure Bastion dal portale di Azure usando le impostazioni manuali e uno SKU (livello prodotto) specificati. Lo SKU determina le funzionalità e le connessioni disponibili per la distribuzione. Per altre informazioni sugli SKU, vedere Impostazioni di configurazione - SKU.

Nella portale di Azure, quando si usa l'opzione Configura manualmente per distribuire Bastion, è possibile specificare valori di configurazione, ad esempio conteggi delle istanze e SKU al momento della distribuzione. Dopo la distribuzione di Bastion, è possibile usare SSH o RDP per connettersi alle macchine virtuali nella rete virtuale tramite Bastion usando gli indirizzi IP privati delle macchine virtuali. Quando ci si connette a una macchina virtuale, non è necessario un indirizzo IP pubblico, un software client, un agente o una configurazione speciale.

Il diagramma seguente illustra l'architettura di Bastion.

Diagramma che mostra l'architettura di Azure Bastion.

In questa esercitazione si distribuisce Bastion usando lo SKU Standard. È possibile modificare il ridimensionamento dell'host (numero di istanze), supportato dallo SKU Standard. Se si usa uno SKU inferiore per la distribuzione, non è possibile modificare il ridimensionamento dell'host. È anche possibile selezionare una zona di disponibilità, a seconda dell'area in cui si vuole distribuire.

Al termine della distribuzione, ci si connette alla macchina virtuale tramite l'indirizzo IP privato. Se la macchina virtuale ha un indirizzo IP pubblico che non è necessario per altre operazioni, è possibile rimuoverlo.

In questa esercitazione apprenderai a:

  • Distribuire Bastion nella rete virtuale.
  • Connettersi a una macchina virtuale.
  • Rimuovere l'indirizzo IP pubblico da una macchina virtuale.

Prerequisiti

Per completare questa esercitazione, sono necessarie queste risorse:

  • Una sottoscrizione di Azure. Se non se ne dispone, creare un account gratuito prima di iniziare.

  • Una rete virtuale in cui si distribuirà Bastion.

  • Una macchina virtuale nella rete virtuale. Questa macchina virtuale non fa parte della configurazione di Bastion e non diventa un bastion host. La connessione a questa macchina virtuale verrà eseguita più avanti in questa esercitazione tramite Bastion. Se non si ha una macchina virtuale, crearne una usando Avvio rapido: Creare una macchina virtuale Windows o Guida introduttiva: Creare una macchina virtuale Linux.

  • Ruoli VM richiesti:

    • Ruolo Lettore nella macchina virtuale
    • Ruolo lettore nella scheda di rete (NIC) con l'indirizzo IP privato della macchina virtuale
  • Porte in ingresso necessarie:

    • Per le macchine virtuali Windows: RDP (3389)
    • Per le macchine virtuali Linux: SSH (22)

Nota

L'uso di Azure Bastion con le zone di azure DNS privato è supportato. Esistono tuttavia restrizioni. Per altre informazioni, vedere Domande frequenti su Azure Bastion.

Valori di esempio

Quando si crea questa configurazione, è possibile usare i valori di esempio seguenti oppure è possibile sostituirli con altri personalizzati.

Valori di base della rete virtuale e della macchina virtuale

Nome Valore
Macchina virtuale TestVM
Gruppo di risorse TestRG1
Area Stati Uniti orientali
Rete virtuale Rete virtuale 1
Spazio indirizzi 10.1.0.0/16
Subnet FrontEnd: 10.1.0.0/24

Valori di Bastion

Nome valore
Nome VNet1-bastion
+ Nome subnet AzureBastionSubnet
Indirizzi AzureBastionSubnet Una subnet all'interno dello spazio indirizzi della rete virtuale con una subnet mask di /26 o superiore; ad esempio 10.1.1.0/26
Zona di disponibilità Selezionare i valori nell'elenco a discesa, se necessario.
Livello/SKU Standard
Numero di istanze (ridimensionamento host) 3 o versione successiva
Indirizzo IP pubblico Crea nuovo
Nome indirizzo IP pubblico VNet1-ip
SKU indirizzo IP pubblico Standard
Assegnazione Statico

Distribuire Bastion

Questa sezione illustra come distribuire Bastion nella rete virtuale. Dopo la distribuzione di Bastion, è possibile connettersi in modo sicuro a qualsiasi macchina virtuale nella rete virtuale usando il relativo indirizzo IP privato.

Importante

La tariffa oraria inizia dal momento in cui viene distribuito Bastion, a prescindere dall'utilizzo dei dati in uscita. Per altre informazioni, vedere Prezzi e SKU. Se si distribuisce Bastion nel corso di un'esercitazione o di un test, è consigliabile eliminare questa risorsa dopo averla usata.

  1. Accedere al portale di Azure.

  2. Andare alla rete virtuale.

  3. Nella pagina della rete virtuale selezionare Bastion nel riquadro sinistro.

  4. Nel riquadro Bastion espandere Opzioni di distribuzione dedicate.

  5. Selezionare Configura manualmente. Questa opzione consente di configurare impostazioni aggiuntive specifiche, ad esempio lo SKU, quando si distribuisce Bastion nella rete virtuale.

    Screenshot che mostra le opzioni di distribuzione dedicate per Azure Bastion e il pulsante per la configurazione manuale.

  6. Nel riquadro Crea bastion configurare le impostazioni per l'host bastion. I dettagli del progetto vengono popolati dai valori della rete virtuale. In Dettagli istanza configurare questi valori:

    • Nome: nome da usare per la risorsa di Bastion.

    • Area: area pubblica di Azure in cui verrà creata la risorsa. Scegliere l'area in cui risiede la rete virtuale.

    • Zona di disponibilità: selezionare le zone dall'elenco a discesa, se necessario. Sono supportate solo determinate aree. Per altre informazioni, vedere l'articolo Che cosa sono le zone di disponibilità?

    • Livello: SKU. Per questa esercitazione selezionare Standard. Per informazioni sulle funzionalità disponibili per ogni SKU, vedere Impostazioni di configurazione - SKU.

    • Numero di istanze: impostazione per il ridimensionamento dell'host, disponibile per lo SKU Standard. Configurare il ridimensionamento dell'host in incrementi di unità di scala. Usare il dispositivo di scorrimento o immettere un numero per configurare il numero di istanze desiderato. Per altre informazioni, vedere Istanze e ridimensionamento dell'host e Prezzi di Azure Bastion.

    Screenshot dei dettagli dell'istanza di Azure Bastion.

  7. Configurare le impostazioni delle reti virtuali. Selezionare la rete virtuale dall'elenco a discesa. Se la rete virtuale non è presente nell'elenco a discesa, assicurarsi di aver selezionato il valore Area corretto nel passaggio precedente.

  8. Per configurare AzureBastionSubnet, selezionare Gestisci configurazione subnet.

    Screenshot della sezione per la configurazione delle reti virtuali.

  9. Nel riquadro Subnet selezionare +Subnet.

  10. Nel riquadro Aggiungi subnet creare la subnet AzureBastionSubnet usando i valori seguenti. Lasciare predefiniti gli altri valori.

    • Il nome della subnet deve essere AzureBastionSubnet.
    • La subnet deve essere /26 o superiore (ad esempio, /26, /25 o /24) per supportare le funzionalità disponibili con lo SKU Standard.

    Selezionare Salva nella parte inferiore del riquadro per salvare i valori.

  11. Nella parte superiore del riquadro Subnet selezionare Crea un bastion per tornare al riquadro di configurazione bastion.

    Screenshot del riquadro che elenca le subnet di Azure Bastion.

  12. La sezione Indirizzo IP pubblico consente di configurare l'indirizzo IP pubblico della risorsa host bastion a cui si accederà RDP/SSH (sulla porta 443). L'indirizzo IP pubblico deve trovarsi nella stessa area della risorsa Bastion che si sta creando.

    Creare un nuovo indirizzo IP. È possibile lasciare il suggerimento di denominazione predefinito.

  13. Dopo aver finito di specificare le impostazioni, selezionare Rivedi e crea. Questo passaggio convalida i valori.

  14. Dopo aver superato la convalida dei valori, è possibile distribuire Bastion. Seleziona Crea.

    Un messaggio indica che la distribuzione è in corso. Lo stato viene visualizzato in questa pagina durante la creazione delle risorse. La creazione e la distribuzione della risorsa di Bastion richiedono circa 10 minuti.

Connettersi a una macchina virtuale

Per connettersi a una macchina virtuale, è possibile usare uno degli articoli dettagliati seguenti. Alcuni tipi di connessione richiedono lo SKU Bastion Standard.

È anche possibile usare questi passaggi di connessione di base per connettersi alla macchina virtuale:

  1. Nel portale di Azure, passare alla macchina virtuale a cui ci si vuole connettere.

  2. Nella parte superiore del riquadro selezionare Connetti>Bastion per passare al riquadro Bastion . È anche possibile passare al riquadro Bastion usando il menu a sinistra.

  3. Le opzioni disponibili nel riquadro Bastion dipendono dallo SKU Bastion . Se si usa lo SKU Basic, ci si connette a un computer Windows usando RDP e la porta 3389. Anche per lo SKU Basic, ci si connette a un computer Linux usando SSH e la porta 22. Non sono disponibili opzioni per modificare il numero di porta o il protocollo. Tuttavia, è possibile modificare la lingua della tastiera per RDP espandendo Impostazioni di connessione.

    Screenshot delle impostazioni di connessione di Azure Bastion.

    Se si usa lo SKU Standard, sono disponibili più opzioni di protocollo di connessione e porta. Espandere Impostazioni di connessione per visualizzare le opzioni. In genere, a meno che non si configurino impostazioni diverse per la macchina virtuale, ci si connette a un computer Windows usando RDP e la porta 3389. Connettersi a un computer Linux usando SSH e la porta 22.

    Screenshot delle impostazioni di connessione espanse.

  4. Per Tipo di autenticazione selezionare dall'elenco a discesa. Il protocollo determina i tipi di autenticazione disponibili. Completare i valori di autenticazione necessari.

    Screenshot che mostra la casella di riepilogo a discesa per il tipo di autenticazione.

  5. Per aprire la sessione di macchina virtuale in una nuova scheda del browser, lasciare selezionata l'opzione Apri nella nuova scheda del browser.

  6. Selezionare Connetti per connettersi alla macchina virtuale.

  7. Verificare che la connessione alla macchina virtuale si apra direttamente nel portale di Azure (su HTML5) usando la porta 443 e il servizio Bastion.

    Screenshot di un desktop del computer con una connessione aperta sulla porta 443.

    Nota

    Quando ci si connette, il desktop della macchina virtuale sarà diverso dallo screenshot di esempio.

L'uso dei tasti di scelta rapida mentre si è connessi a una macchina virtuale potrebbe non comportare lo stesso comportamento dei tasti di scelta rapida in un computer locale. Ad esempio, quando si è connessi a una macchina virtuale Windows da un client Windows, CTRL+ALT+FINE è il tasto di scelta rapida per CTRL+ALT+CANC in un computer locale. A tale scopo da un Mac mentre si è connessi a una macchina virtuale Windows, il tasto di scelta rapida è fn+control+option+delete.

Abilitare l'output audio

È possibile abilitare l'output audio remoto per la macchina virtuale. Alcune macchine virtuali abilitano automaticamente questa impostazione, mentre altre richiedono l'abilitazione manuale delle impostazioni audio. Le impostazioni vengono modificate nella macchina virtuale stessa. La distribuzione di Bastion non richiede impostazioni di configurazione speciali per abilitare l'output audio remoto.

Nota

L'output audio usa la larghezza di banda nella connessione Internet.

Per abilitare l'output audio remoto in una macchina virtuale Windows:

  1. Dopo la connessione alla macchina virtuale, viene visualizzato un pulsante audio nell'angolo in basso a destra della barra degli strumenti. Fare clic con il pulsante destro del mouse sul pulsante audio e quindi scegliere Suoni.
  2. Un messaggio popup chiede se si vuole abilitare il servizio audio di Windows. Selezionare . È possibile configurare più opzioni audio nelle preferenze audio.
  3. Per verificare l'output audio, passare il puntatore del mouse sul pulsante audio sulla barra degli strumenti.

Rimuovere l'indirizzo IP pubblico di una macchina virtuale

Quando ci si connette a una macchina virtuale usando Azure Bastion, non è necessario un indirizzo IP pubblico per la macchina virtuale. Se non si usa l'indirizzo IP pubblico per altri elementi, è possibile annullare l'dissociazione dalla macchina virtuale:

  1. Passare alla macchina virtuale. Nella pagina Panoramica fare clic sull'indirizzo IP pubblico per aprire la pagina Indirizzo IP pubblico.

  2. Nella pagina Indirizzo IP pubblico passare a Panoramica. È possibile visualizzare la risorsa a cui è associato questo indirizzo IP. Selezionare Dissocia nella parte superiore del riquadro.

    Screenshot dei dettagli per l'indirizzo IP pubblico di una macchina virtuale.

  3. Selezionare Sì per annullare l'dissociazione dell'indirizzo IP dall'interfaccia di rete della macchina virtuale. Dopo aver dissociato l'indirizzo IP pubblico dall'interfaccia di rete, verificare che non sia più elencato in Associato a.

  4. Dopo aver dissociato l'indirizzo IP, è possibile eliminare la risorsa indirizzo IP pubblico. Nel riquadro Indirizzo IP pubblico per la macchina virtuale selezionare Elimina.

    Screenshot del pulsante per l'eliminazione di una risorsa indirizzo IP pubblico.

  5. Selezionare per eliminare l'indirizzo IP pubblico.

Pulire le risorse

Al termine dell'uso di questa applicazione, eliminare le risorse:

  1. Immettere il nome del gruppo di risorse nella casella Cerca nella parte superiore del portale. Quando il gruppo di risorse viene visualizzato nei risultati della ricerca, selezionarlo.
  2. Selezionare Elimina gruppo di risorse.
  3. Immettere il nome del gruppo di risorse per DIGITARE IL NOME DEL GRUPPO DI RISORSE e quindi selezionare Elimina.

Passaggi successivi

In questa esercitazione Bastion è stato distribuito in una rete virtuale e si è connessi a una macchina virtuale. È stato quindi rimosso l'indirizzo IP pubblico dalla macchina virtuale. Informazioni su e configurare altre funzionalità bastion.