Microsoft Azure Bastion: исчерпывающее руководство по бесплатному использованию

Кому пригодится облачный Windows 10 от Microsoft Azure

Недавно вдруг стала популярной статья про PdaNet о том, как вдохнуть жизнь в виде Интернета в любой компьютер с помощью мобильного телефона. Этот материал продолжает раскрывать тайны бесплатных возможностей Сети, он попал в раздел Блог как личный опыт и будет развлечением для опытных программистов, либо полезным пошаговым руководством для тех, кому срочно нужно поработать или что-то запостить или просто зайти куда-то под своим логином-паролем на каком-то незнакомом устройстве с ограниченным во всех смыслах доступом, либо на компьютере приятеля, к которому даже прикасаться опасно из-за обилия вирусов.

Дополнительные преимущества работы в облаке:

• снижается удобство слежки за вами админов и руководства, если вы работаете в офисе;
• не нужно каждый раз запускать Windows и выключать компьютер, достаточно нажать "Отключиться";
• нет расходов на "железо", на лицензию Windows или другой ОС, причем можно выбирать из свежайших Pro-версий;
• можно поиграться с различным операционными системами без материальных и временных затрат на их установку, хотя эта заметка не про это;
• для любой системы аналитики и трекинга вы находитесь где-то за тысячи км от реального местоположения, это надежнее любого анонимайзера (например, можно сохранить дружбу с сервисами, которые очень не любят заходы с одного и того же IP под разными аккаунтами).

Любит русский человек всё бесплатное, особенно за счет Запада. И даром бы оно мне было не надо, если бы не необходимость работать с виртуальной машиной по сети.

Дело в том, что есть рядом с временным местом моей дислокации очень быстрый Интернет, а там два с половиной браузера, в которых отключено любое самоуправство, и, конечно, Windows с минимальными правами пользователя.

И это бы не беда, но и работать нельзя: выход на большинство нужных сайтов заблокирован.

Регистрация в Microsoft, обычное подключение VM

В общем, к делу. Задача: создать бесплатный виртуальный Windows на чужом сервере где-нибудь в Швеции.

Набираем в Яндексе “azure создать бесплатный аккаунт”, попадаем на симпатичную страницу https://azure.microsoft.com/ru-ru/free/

Нажимаем "Начните бесплатно", попадаем на авторизацию Microsoft. Тут необходимо создать новый аккаунт, понадобится электропочта и еще не занятый под учетную запись номер телефона.

Увы, в процессе регистрации вас раздевают до нижнего белья: проверка по номеру телефона через код в SMS, далее — по банковской карте, причем никакая виртуальная карта от Яндекса или автосгенерированная на каком-то сервисе не пройдет. Этот текст вполне можно было бы озаглавить "Как получить бесплатный месяц облачного Windows, раздевшись перед Microsoft".

Многие спотыкаются на данном этапе, полагая, что по истечении времени бесплатного использования Microsoft начнет что-то списывать с карты. 100%-гарантий дать не могу, но у меня не сняли ни рубля за несколько месяцев работы с двумя аккаунтами, один из которых на момент конца 2020 г. требовал продления подписки.

Прошедшие идентификацию попадают в аккаунт Azure, где можно установить в рамках бесплатного тарифа виртуальную машину с Windows 10.

Но не торопитесь, если вы пришли сюда именно за Бастионом, а переходите сразу к следующим абзацам, где описана его установка.

Я скромно выбрал машину в Северной Швейцарии с HDD (SSD не положен по тарифу). Вот ее характеристики:

Я не вдавался в подробности о принципах бесплатного использования, но 12 500 рублей, которые выделяются в рамках этой акции Microsoft, у меня растаяли примерно за 5 недель, хотя и пользовался я сервисом в основном 1-2 раза в неделю по нескольку часов.

Есть возможность получить доступ к сервису на год, но для этого нужно принять письмо на email какого-то вузовского домена вроде hse.ru (привожу в пример "вышку", т. к. там допустима почта с домена 3го уровня).

Есть три способа подключения к виртуальной машине: скачивание rdp-файла для подключения к удаленному рабочему столу Windows, SSH, Bastion.

Первый вариант наиболее простой. Remote Desktop Protocol использует стандартно порт 3389, хотя у вас есть возможность изменить это число в реестре (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp -> PortNumber) и открыват подключение с явным указанием порта, но работает ли этот трюк с Azure, я не проверял.

SSH требует знаний команд консоли и всяких ключей и т. п., его пока не берем в расчет.

При попытке выбора третьего система радостно сообщит, что "Чтобы связать виртуальную сеть с Bastion, она должна содержать подсеть AsureBastionSubnet с префиксом не менее /27."

Если вас устроит любой способ подключения, не требуется особая приватность и не важно, что Windows будет на HDD, а не на SSD, выбирайте первый вариант, и не заморачивайтесь с Бастионом. Главное, чтобы не был отключен запуск файлов с расширением *.rdp и не были закрыты соответствующие порты.

Зачем вообще нужен этот Bastion

Из справки Microsoft:

Bastion — это управляемая платформой служба PaaS (Protocol as a Service), обеспечивающая подключение RDP или SSH к виртуальной машине через портал Azure из клиентского браузера по протоколу TLS (Transport Layer Security).

Бастион не требует использования общедоступного IP-адреса, защищает от сканирования портов, от эксплойтов нулевого дня.

Как подключиться к Microsoft Azure Bastion

Дело в том, что при создании виртуальной машины Windows вы получаете автоматически подсеть default с IPv4 10.0.0.0/24.

Если следовать подсказке при получении вышеупомянутой ошибки про AsureBastionSubnet, вас ждет большое разочарование: новая подсеть будет либо пересекаться адресами с дефолтной, либо не соответствовать требованиям системы.

Для бесплатного подключения к VM через Бастион нужно завести собственную лабораторию в разделе DevTest Labs, причем здесь и далее расположение всех сервисов нужно выбирать из ограниченного диапазона локаций, перечисленных в справке Microsoft. Я рекомендую Западную Европу.

1. Создание лаборатории

Заходим в раздел Все службы, набираем в поиске DevTest, кликаем по DevTest Labs, нажимаем Создать.

Заходим в раздел Все службы, набираем в поиске DevTest, кликаем по DevTest Labs, нажимаем Добавить.

Вводим название Группы ресурсов, Имя лаборатории, выбираем регион. На вкладке справа можно задать время автозавершения работы, вкладку Сеть пока не трогаем.

2. Возня с подсетями

Добавление от 26.12.2020. Если в вашем новом аккаунте Azure пока ничего не создано, нет необходимости разделять новые и старые подсети, переходите сразу к созданию Бастиона. К такому выводу я пришел, подключаясь на новом аккаунте по своей инструкции.

Я описываю свой путь, возможно, взять Бастион можно проще и быстрее, но в моей ситуации именно нахождение правильного диапазона IPv4 было ключом к получению доступа.

Заходим в свою лабораторию, в моем случае она имеет бесхитростное название "bastion", нажимаем в самом низу "Конфигурация и политики", далее в списке слева — "Виртуальные сети".

В поле справа появится единственная сеть, кликаем по ней.

Нажимаем синюю кнопку "Открыть колонку виртуальной сети", выбираем слева Subnets.

Далее: кнопка добавления подсети "+Subnet".

Называем подсеть "AzureBastionSubnet", указываем диапазин адресов 10.0.1.0/27 (или 10.0.2.0/27, 10.0.3.0/27 и т. д., до 10.0.15.0/27).

У меня в процессе этой возни получилось три подсети: одна базовая 10.0.0.0/29, дополнительная 10.0.1.0/27 и содержащая необходимое название для Бастиона AzureBastionSubnet — 10.0.1.0/27.

3. Разрешаем подключаться к сети через браузер

Возвращаемся в "Конфигурация и политики", нажимаем в левом меню "Подключиться через браузер" и кнопку "Вкл".

4. Создание ресурса типа Бастион

Если на предыдущих шагах всё сделано правильно, Azure теперь позволит создать узел Бастиона.

Главная -> Создать ресурс, вбиваем в поиске Bastion, переходим на новую страницу, нажимаем Создать под заголовком "Bastion".

Тут нужно вбить пару названий и выбрать подсеть, остальное оставить без изменения.

Если новая подсеть не проходит валидацию, создайте основную сеть в диапазоне 10.0.0.0/29 и подсеть AzureBastionSubnet в диапазоне 10.0.1.0/27 (или 10.0.2.0/27, 10.0.3.0/27 и т. д., до 10.0.15.0/27).

Допустимые адреса подсетей указаны ниже в предпоследнем источнике.

5. Создание виртуальной машины Windows

Тут действия аналогичны описанным выше для создания VM на дефолтном бесплатном аккаунте за небольшим исключением.

Главная -> Создать -> Windows Server 2016 Datacenter (возможности бесплатного аккаунта позволяют выбрать также, например, Ubuntu 18.0 и что-то еще не менее интересное и полезное, но преимущества различных ОС — это тема для отдельной публикации.

В первом окне важно правильно выбрать регион, а также логин и пароль, которые потом можно будет вспомнить при подключении к Бастиону. В качестве протоколов можно указать SSH и RDP. Второе окно позволяет выбрать SSD-диск на бесплатном тарифе, хотя скорость работы будет больше зависеть от качества интернет-соединения.

6. Успешное подключение или возврат к пп. 2, 3

Системе понадобится некоторое время, чтобы запустить вашу машину, после этого можно пробовать подключаться: Главная -> Виртуальные машины, клик по вашей машине, "Подключиться".

Выбираем тип подключения "Bastion", вводим запомненные или записанные на предыдущем шаге логин и пароль, получаем отдельную вкладку с новым Windows.

Не исключено, что ваша последовательность действий будет отличаться от описанной, т. к. я вспоминал эти шаги уже после подключения. Если вы сначала создали машину, не настроив сети, либо капризный сервис Azure по каким-то причинам не принимает ваши настройки, придётся ещё поработать с шагами 2, 3.

Система предлагает также ряд удобных настроек: Автозапуск, Диагностика загрузки и др., доступные в меню виртуальной машины.

Видео с рабочим столом Windows, подключенным через Bastion

В заключение небольшая демонстрация работы Microsoft Azure Bastion:

Источники информации от Microsoft:

https://docs.microsoft.com/ru-ru/azure/bastion/bastion-overview

https://docs.microsoft.com/ru-ru/azure/bastion/tutorial-create-host-portal

https://docs.microsoft.com/ru-ru/azure/devtest-labs/enable-browser-connection-lab-virtual-machines

https://docs.microsoft.com/ru-ru/azure/devtest-labs/connect-virtual-machine-through-browser

https://docs.microsoft.com/ru-ru/azure/virtual-network/virtual-networks-faq

https://docs.microsoft.com/ru-ru/azure/bastion/tutorial-create-host-portal#connect-to-a-vm