Mit der Bereitstellung von Azure Bastion und teilbaren Links lassen sich RDP- und SSH-Verbindungen auf virtuelle Maschinen in Azure schnell und sicher von überallher herstellen. Die virtuellen Maschinen benötigen dafür keine öffentliche IP-Adresse, keine Agenten oder anderweitige Software und die zeitaufwändige Verwaltung von NSG (Netzwerksicherheitsgruppen) oder VPN entfällt ebenso.
Azure Bastion verwendet einen Webclient basierend auf HTML5, TLS über Port 443 und ist ein PaaS-Dienst (Platfrom-as-a-Service). Durch die ständige Aktualisierung und Verwaltung von Microsoft bietet dieser Azure Dienst einen zusätzlichen Schutz gegen Zero-Day-Exploits.
Die Funktion teilbare Links vereinfacht die Verwendung von Azure Bastion weiter. Bis anhin musste sich der Benutzer für die Verwendung von Azure Bastion zuerst im Azure Portal anmelden und sich mühsam zur virtuellen Maschine durchklicken. Teilbare Links stellen eine URL bereit, welche eine direkte und sichere Verbindung zur virtuellen Maschine herstellen, ohne dass sich der Benutzer vorher am Azure Portal anmelden muss.
Voraussetzungen und Lizenzierung
- Für Azure Bastion ist keine Lizenz notwendig
- Ein dediziertes Subnetz der Größe /26 oder größer mit dem Namen AzureBastionSubnet
- Eine virtuelle Maschine, welche über RDP- oder SSH mit dem Azure Bastion verwaltet werden soll
Bereitstellung von Azure Bastion
Azure Bastion wird im Azure Portal (https://portal.azure.com) bereitgestellt.
Im Menu All services unter der Kategorie Networking die Ressource Bastions auswählen.
Option Create auswählen
- Abonnement und Ressourcengruppe auswählen
- Instanzname eingeben und Azure Region auswählen
- SKU für den Azure Bastion auswählen. Eine Übersicht über die SKU und deren Funktionen können hier nachgelesen werden:
https://learn.microsoft.com/de-de/azure/bastion/bastion-overview#sku - Virtuelles Netzwerk auswählen, in der Azure Bastion bereitgestellt werden soll.
Ein dediziertes Subnetz AzureBastionSubnet mit den folgenden Anforderungen ist eine Voraussetzung:
– Der Subnetzname muss AzureBastionSubnet lauten
– Das Subnet muss eine Grösse von mindestens /26 oder grösser haben (/25, /24 etc) - Public IP Adresse auswählen
- Weiter zur Überprüfung der Eingaben durch Klick auf Review + Create
Nach erfolgreicher Überprüfung wird Azure Bastion mit Create erstellt.
Nach kurzer Zeit ist Azure Bastion erstellt.
Die Aufbau einer Verbindung zu einer RDP- oder SSH-Session einer virtuellen Maschine im Azure Portal wird hier beschrieben.
Bereitstellung teilbare Links
Mit einem teilbaren Link können Benutzer direkt auf virtuelle Maschinen in Azure zugreifen und müssen sich nicht zuerst im Azure Portal anmelden.
Für die Verwendung von teilbaren Links ist Azure Bastion in der SKU Standard vorausgesetzt.
Teilbare Links aktivieren
Das Feature aktiviert man unter All services > Networking > Bastions > Azure Bastion Host > Configuration.
Feature Shareable Link aktivieren.
Die Bereitstellung des Features ist nach ein paar Minuten erfolgreich abgeschlossen.
Teilbare Links erstellen
Um teilbare Links zu erstellen, öffnet man unter All services > Networking > Bastions > Azure Bastion Host das Feature Shareable Links und klick auf Add
- Abonnement und Ressourcengruppe auswählen
- Alle Zielressourcen auswählen, die über ein teilbarer Link freigegeben werden
- Konfiguration mit Apply bestätigen
Nach kurzer Zeit sind die teilbaren Links erstellt.
Der Aufbau einer Verbindung zu einer RDP- oder SSH-Session einer virtuellen Maschine mit einem teilbaren Link wird hier beschrieben.
Teilbarer Link löschen
Wenn der teilbare Link nicht mehr verwendet wird, kann dieser gelöscht werden. Dazu die virtuelle Maschine unter All services > Networking > Bastions > Azure Bastion Host > Configuration > Shareable Link auswählen und auf Delete klicken
Verbindung zu virtueller Maschine herstellen
Verbindung über Azure Portal herstellen
Melde Dich im Azure Portal (https://portal.azure.com) an und wähle unter All Services > Compute > Virtual Maschines die virtuelle Maschine aus, zu der eine RDP- oder SSH-Verbindung über Azure Bastion ausgeführt werden soll.
In der virtuellen Maschine das Feature Bastion auswählen.
- Protokoll für die Verbindung auswählen (RDP oder SSH)
- Zugangsdaten zur virtuellen Maschine eingeben
- Verbindung mit Connect herstellen
Die Session wird im Browser geöffnet.
Verbindung mit teilbarem Link herstellen
Mit einem teilbaren Link wird eine RDP- oder SSH-Sitzung im Browser direkt zur virtuellen Maschine hergestellt. Es ist keine Anmeldung am Azure Portal notwendig.
Teilbare Links haben das Format https://*.bastion.azure.com/* und werden pro virtuelle Maschine unter All services > Networking > Bastions > Azure Bastion Host > Shareable Links angezeigt
Der teilbare Link im Browser aufrufen und mit den Credentials der virtuellen Maschine anmelden. Der Link enthält keine Zugangsdaten der virtuellen Maschine.
Die Session wird im Browser geöffnet.
Fehlersuche und Fehlerbehebung
Kopieren und Einfügen funktioniert nicht
Die Funktion «Kopieren & Einfügen» funktioniert nicht. Damit «Kopieren & Einfügen» verwendet werden kann, muss die Funktion im Azure Bastion aktiviert sein. All services > Networking > Bastions > Azure Bastion Host > Configuration aufrufen und das Feature Copy & Paste aktivieren.
Folge mir auf LinkedIn, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.
War dieser Beitrag hilfreich für dich? Zeige Deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!