الأسئلة المتداولة عن Bastion

الأسئلة المتداولة حول خدمة Bastion والنشر

ما المتصفحات المدعومة؟

يجب أن يدعم المتصفح HTML 5. استخدم متصفح Microsoft Edge أو Google Chrome على نظام Windows. بالنسبة لنظام Apple Mac، استخدم متصفح Google Chrome. يتم دعم Microsoft Edge Chromium كذلك على كل من Windows وMac، على التوالي.

كيف يعمل التسعير؟

تسعير Azure Bastion هو مزيج من التسعير بالساعة استنادا إلى SKU والمثيلات (وحدات المقياس)، بالإضافة إلى معدلات نقل البيانات. يبدأ التسعير بالساعة من لحظة نشر Bastion، بغض النظر عن استخدام البيانات الصادرة. للحصول على أحدث معلومات التسعير، راجع صفحة تسعير Azure Bastion.

هل IPv6 مدعوم؟

في الوقت الحالي، IPv6 غير مدعوم. إن Azure Bastion يدعم IPv4 فقط. وهذا يعني أنه يمكنك فقط تعيين عنوان IP عام IPv4 لمورد Bastion الخاص بك، وأنه يمكنك استخدام Bastion للاتصال بالأجهزة الظاهرية الهدف IPv4. يمكنك أيضاً استخدام Bastion للاتصال بأجهزة ظاهرية هدف مكدسة مزدوجة، ولكن ستتمكن فقط من إرسال واستقبال حركة مرور IPv4 عبر Azure Bastion.

أين تخزن Azure Bastion بيانات العملاء؟

لا يقوم Azure Bastion بنقل بيانات العملاء أو تخزينها خارج المنطقة التي تم نشرها فيها.

هل يدعم Azure Bastion مناطق التوفر؟

للحصول على معلومات حول دعم منطقة التوفر في Azure Bastion، راجع الموثوقية في Azure Bastion.

هل يدعم Azure Bastion شبكة WAN الظاهرية؟

نعم، يمكنك استخدام Azure Bastion لعمليات نشر Virtual WAN. ومع ذلك، فإن نشر Azure Bastion داخل مركز Virtual WAN غير مدعوم. يمكنك نشر Azure Bastion في شبكة ظاهرية محورية واستخدام ميزة الاتصال المستندة إلى IP للاتصال بالأجهزة الظاهرية المنشورة عبر شبكة ظاهرية مختلفة عبر مركز Virtual WAN. إذا تم دمج مركز Azure Virtual WAN مع Azure Firewall كمركز ظاهري آمن، يجب أن يتواجد AzureBastionSubnet داخل شبكة ظاهرية حيث يتم تعطيل نشر المسار الافتراضي 0.0.0.0/0 على مستوى اتصال الشبكة الظاهرية.

هل يمكنني استخدام Azure Bastion إذا كنت أقوم بفرض نقل بيانات الإنترنت عبر النفق مرة أخرى إلى موقعي المحلي؟

لا، إذا كنت تعلن عن مسار افتراضي (0.0.0.0/0) عبر ExpressRoute أو VPN، ويتم إدخال هذا المسار في الشبكات الظاهرية، سيؤدي ذلك إلى قطع خدمة Azure Bastion.

يحتاج Azure Bastion إلى أن يكون قادراً على الاتصال بنقاط نهاية داخلية معينة للاتصال بنجاح بالموارد المستهدفة. لذلك، يمكنك استخدام Azure Bastion مع Azure Private DNS Zones طالما أن اسم المنطقة الذي تحدده لا يتداخل مع تسمية نقاط النهاية الداخلية هذه. قبل نشر مورد Azure Bastion، تأكد من أن الشبكة الظاهرية المضيفة غير مرتبطة بمنطقة DNS خاصة بالأسماء التالية بالضبط:

  • management.azure.com
  • *.blob.core.windows.net
  • core.windows.net
  • vaultcore.windows.net
  • vault.azure.net
  • azure.com

يمكنك استخدام منطقة DNS خاصة تنتهي بأحد الأسماء في القائمة السابقة (على سبيل المثال: privatelink.blob.core.windows.net).

Azure Bastion غير مدعوم مع Azure Private DNS Zones في السحب المحلية.

يتعذر على privatelink.azure.com حل management.privatelink.azure.com

قد يكون هذا بسبب منطقة DNS الخاصة privatelink.azure.com المرتبطة بالشبكة الظاهرية Bastion مما يتسبب في حل management.azure.com CNAMEs إلى management.privatelink.azure.com وراء الكواليس. إنشاء سجل CNAME في منطقة privatelink.azure.com الخاصة بهم management.privatelink.azure.com arm-frontdoor-prod.trafficmanager.net لتمكين دقة DNS الناجحة.

هل يدعم Azure Bastion الارتباط الخاص؟

لا، لا يدعم Azure Bastion حاليا Azure Private Link.

لماذا أحصل على خطأ "فشل في إضافة شبكة فرعية" عند استخدام "Deploy Bastion" في المدخل؟

في هذا الوقت، بالنسبة لمعظم مساحات العناوين، يجب إضافة شبكة فرعية تسمى AzureBastionSubnet إلى شبكتك الظاهرية قبل تحديد Deploy Bastion.

هل الأذونات الخاصة مطلوبة لنشر Bastion إلى AzureBastionSubnet؟

لنشر Bastion إلى AzureBastionSubnet، يلزم أذونات الكتابة. مثال: Microsoft.Network/virtualNetworks/write.

هل يمكنني الحصول على شبكة فرعية من Azure Bastion بحجم /27 أو أصغر (/28، /29، وما إلى ذلك)؟

بالنسبة لموارد Azure Bastion التي تم توزيعها في 2 نوفمبر 2021 أو بعده، يكون الحد الأدنى لحجم AzureBastionSubnet هو/26 أو أكبر (/ 25،/24، وما إلى ذلك). لا تتأثر جميع موارد Azure Bastion التي تم نشرها في شبكات فرعية بحجم /27 قبل هذا التاريخ بهذا التغيير وستستمر في العمل. ومع ذلك، نوصي بشدة بزيادة حجم أي AzureBastionSubnet موجود إلى /26 في حالة اختيار الاستفادة من تحجيم المضيف في المستقبل.

هل يمكنني نشر موارد Azure متعددة في الشبكة الفرعية Azure Bastion الخاصة بي؟

‏‏لا. يتم حجز شبكة Azure Bastion الفرعية (AzureBastionSubnet)فقط لنشر مورد Azure Bastion الخاص بك.

هل التوجيه المعرف من قِبَل المستخدم (UDR) مدعوم على شبكة Azure Bastion الفرعية؟

‏‏لا. UDR غير مدعوم على شبكة Azure Bastion الفرعية.

بالنسبة للسيناريوهات التي تتضمن Azure Bastion وAzure Firewall / Network Virtual Appliance (NVA) في نفس الشبكة الظاهرية، لا تحتاج إلى فرض حركة المرور من شبكة Azure Bastion الفرعية إلى Azure Firewall لأن الاتصال بين Azure Bastion وأجهزتك الظاهرية خاصة. لمزيد من المعلومات، راجع الوصول إلى أجهزة ظاهرية خلف Azure Firewall باستخدام Bastion .

ما وحدة SKU التي يجب أن أستخدمها؟

يحتوي Azure Bastion على وحدات SKU متعددة. يجب تحديد SKU استنادا إلى متطلبات الاتصال والميزات. للحصول على قائمة كاملة بمستويات SKU والاتصالات والميزات المدعومة، راجع مقالة إعدادات التكوين.

هل يمكنني ترقية SKU؟

نعم. لمعرفة الخطوات، راجع ترقية SKU. لمزيد من المعلومات حول وحدات SKU، راجع مقالة إعدادات التكوين.

هل يمكنني الرجوع إلى إصدار SKU؟

‏‏لا. لا يتم دعم الرجوع إلى إصدار SKU. لمزيد من المعلومات حول وحدات SKU، راجع مقالة إعدادات التكوين.

هل يدعم Bastion الاتصال بـ Azure Virtual Desktop؟

لا، اتصال Bastion بسطح المكتب الظاهري Azure غير مدعوم.

كيف أتعامل مع حالات فشل النشر؟

راجع أي رسائل خطأ وأرسل طلب دعم في مدخل Azure حسب الحاجة. يمكن أن تنتج حالات فشل التوزيع عن حدود اشتراك Azure والحصص النسبية والقيود. على وجه التحديد، قد يواجه العملاء حدا لعدد عناوين IP العامة المسموح بها لكل اشتراك مما يؤدي إلى فشل نشر Azure Bastion.

هل يدعم Bastion نقل VNet إلى مجموعة موارد أخرى؟

‏‏لا. إذا قمت بنقل شبكتك الظاهرية إلى مجموعة موارد أخرى (حتى لو كانت في نفس الاشتراك)، فستحتاج أولا إلى حذف Bastion من الشبكة الظاهرية، ثم المتابعة لنقل الشبكة الظاهرية إلى مجموعة الموارد الجديدة. بمجرد أن تكون الشبكة الظاهرية في مجموعة الموارد الجديدة، يمكنك نشر Bastion إلى الشبكة الظاهرية.

هل يدعم Bastion حسابات ضيوف Microsoft Entra؟

نعم، يمكن منح حسابات ضيوف Microsoft Entra حق الوصول إلى Bastion ويمكن الاتصال بالأجهزة الظاهرية. ومع ذلك، لا يمكن للمستخدمين الضيوف في Microsoft Entra الاتصال بأ Azure VMs عبر مصادقة Microsoft Entra. يتم دعم المستخدمين غير الضيوف عبر مصادقة Microsoft Entra. لمزيد من المعلومات حول مصادقة Microsoft Entra لأجهزة Azure الظاهرية (للمستخدمين غير الضيوف)، راجع تسجيل الدخول إلى جهاز ظاهري يعمل بنظام Windows في Azure باستخدام معرف Microsoft Entra.

لا، المجالات المخصصة غير مدعومة مع ارتباطات Bastion القابلة للمشاركة. يتلقى المستخدمون خطأ في الشهادة عند محاولة إضافة مجالات معينة في CN/SAN لشهادة مضيف Bastion.

الأسئلة المتداولة حول اتصال الجهاز الظاهري والميزات المتوفرة

هل هناك أي أدوار مطلوبة للوصول إلى جهاز ظاهري؟

من أجل إجراء اتصال، يُرجى توافر الأدوار التالية:

  • دور قارئ الملفات في الجهاز الظاهري.
  • دور قارئ الملفات في NIC باستخدام IP خاص في الجهاز الظاهري.
  • دور القارئ في مورد Azure Bastion.
  • دور القارئ على الشبكة الظاهرية للجهاز الظاهري الهدف (إذا كان توزيع Bastion في شبكة ظاهرية نظيرة).

بالإضافة إلى ذلك، يجب أن يكون لدى المستخدم الحقوق (إذا لزم الأمر) للاتصال بالجهاز الظاهري. على سبيل المثال، إذا كان المستخدم يتصل بجهاز ظاهري يعمل بنظام Windows عبر RDP ولم يكن عضوا في مجموعة المسؤولين المحليين، فيجب أن يكون عضوا في مجموعة مستخدمي سطح المكتب البعيد.

لماذا أتلقى رسالة الخطأ "انتهت صلاحية جلستك" قبل بدء جلسة Bastion؟

إذا انتقلت إلى عنوان URL مباشرةً من جلسة أو علامة تبويب متصفح أخرى، فمن المتوقع حدوث هذا الخطأ. يساعد في ضمان أن جلستك أكثر أماناً وأنه لا يمكن الوصول إلى الجلسة إلا من خلال مدخل Azure. سجّل الدخول إلى مدخل Azure وابدأ جلستك مرة أخرى.

هل أحتاج إلى عنوان IP عام على جهازي الظاهري للاتصال من خلال Azure Bastion؟

‏‏لا. عند الاتصال بجهاز ظاهري باستخدام Azure Bastion، لا تحتاج إلى عنوان IP عام على الجهاز الظاهري Azure الذي تتصل به. تفتح خدمة Bastion جلسة RDP/SSH/الاتصال بجهازك الظاهري عبر IP الخاص بجهازك الظاهري، داخل شبكتك الظاهرية.

هل أحتاج إلى عميل RDP أو SSH؟

‏‏لا. يمكنك الوصول إلى جهازك الظاهري من مدخل Microsoft Azure باستخدام المستعرض الخاص بك. للحصول على الاتصالات والأساليب المتوفرة، راجع حول اتصالات الجهاز الظاهري وميزاته.

هل يحتاج المستخدمون إلى حقوق محددة على جهاز ظاهري مستهدف لاتصالات RDP؟

عندما يتصل مستخدم بجهاز ظاهري يعمل بنظام Windows عبر RDP، يجب أن يكون لديه حقوق على الجهاز الظاهري الهدف. إذا لم يكن المستخدم مسؤولا محليا، أضف المستخدم إلى مجموعة مستخدمي سطح المكتب البعيد على الجهاز الظاهري الهدف.

هل يمكنني الاتصال بجهازي الظاهري باستخدام عميل أصلي؟

نعم. يمكنك الاتصال بجهاز ظاهري من الكمبيوتر المحلي باستخدام عميل أصلي. راجع الاتصال إلى جهاز ظاهري باستخدام عميل أصلي.

هل أحتاج إلى وكيل يعمل في الجهاز الظاهري Azure؟

‏‏لا. لست بحاجة إلى تثبيت وكيل أو أي برنامج على متصفحك أو على الجهاز الظاهري Azure. خدمة Bastion بدون وكيل ولا تتطلب أي برامج إضافية لـ RDP / SSH.

ما الميزات المعتمدة لجلسات الجهاز الظاهري؟

راجع حول اتصالات الجهاز الظاهري وميزاته للميزات المدعومة.

‏‏لا. لدى بعض المؤسسات نهج الشركة التي تتطلب إعادة تعيين كلمة المرور عندما يقوم المستخدم بتسجيل الدخول إلى حساب محلي للمرة الأولى. عند استخدام ارتباطات قابلة للمشاركة، لا يمكن للمستخدم تغيير كلمة المرور، على الرغم من ظهور الزر "إعادة تعيين كلمة المرور".

هل يتوفر الصوت عن بعد للأجهزة الظاهرية؟

نعم. راجع حول اتصالات الجهاز الظاهري وميزاته.

هل يدعم Azure Bastion نقل الملفات؟

يوفر Azure Bastion دعمًا لنقل الملفات بين الجهاز الظاهري المستهدف والكمبيوتر المحلي باستخدام Bastion وعميل RDP أو SSH أصلي. في هذا الوقت، لا يمكنك تحميل الملفات أو تنزيلها باستخدام PowerShell أو عبر مدخل Microsoft Azure. لمزيد من المعلومات، راجع تحميل الملفات وتنزيلها باستخدام العميل الأصلي.

هل يعمل Bastion مع الأجهزة الظاهرية المرتبطة بملحق معرف Entra؟

يعمل Bastion مع الأجهزة الظاهرية المرتبطة بملحق معرف Entra لمستخدمي Microsoft Entra مع RDP وSSH على العميل الأصلي، وSSH فقط على المدخل. معرف إدخال RDP على المدخل غير مدعوم حتى الآن. لمزيد من المعلومات، راجع تسجيل الدخول إلى جهاز ظاهري يعمل بنظام Windows في Azure باستخدام معرف Microsoft Entra.

هل Bastion متوافق مع الأجهزة الظاهرية التي تم إعدادها كمضيفي جلسة عمل RDS؟

لا يدعم Bastion الاتصال بجهاز ظاهري تم إعداده كمضيف جلسة عمل RDS.

ما تخطيطات لوحة المفاتيح المدعومة أثناء جلسة Bastion البعيدة؟

يدعم Azure Bastion حالياً تخطيطات لوحة المفاتيح التالية داخل الجهاز الظاهري:

  • en-us-qwerty
  • en-gb-qwerty
  • de-ch-qwertz
  • de-de-qwertz
  • fr-be-azerty
  • fr-fr-azerty
  • fr-ch-qwertz
  • hu-hu-qwertz
  • it-it-qwerty
  • ja-jp-qwerty
  • pt-br-qwerty
  • es-es-qwerty
  • es-latam-qwerty
  • sv-se-qwerty
  • tr-tr-qwerty

لإنشاء تعيينات المفاتيح الصحيحة للغة الهدف، يجب عليك تعيين تخطيط لوحة المفاتيح على الكمبيوتر المحلي الخاص بك إلى اللغة الهدف و تخطيط لوحة المفاتيح داخل الجهاز الظاهري المستهدف للغة الهدف. يجب تعيين كلتا لوحي المفاتيح على لغتك المستهدفة لإنشاء تعيينات المفاتيح الصحيحة داخل الجهاز الظاهري المستهدف.

لتعيين اللغة الهدف كتخطييط لوحة المفاتيح على محطة عمل Windows، انتقل إلى الإعدادات > الوقت ولغة اللغة > والمنطقة. ضمن "اللغات المفضلة"، حدد "إضافة لغة" وأضف الإنجليزية (الولايات المتحدة). ستتمكن بعد ذلك من رؤية تخطيطات لوحة المفاتيح على شريط الأدوات. لتعيين اللغة الإنجليزية (الولايات المتحدة) كتخطيط لوحة المفاتيح، حدد "ENG" على شريط الأدوات أو انقر فوق Windows + مفتاح المسافة لفتح تخطيطات لوحة المفاتيح.

هل هناك حل لوحة مفاتيح للتبديل بين التركيز بين الجهاز الظاهري والمستعرض؟

يمكن للمستخدمين استخدام "Ctrl+Shift+Alt" لتبديل التركيز بشكل فعال بين الجهاز الظاهري والمستعرض.

كيف أعمل استعادة تركيز لوحة المفاتيح أو الماوس من مثيل؟

انقر فوق مفتاح Windows مرتين متتاليتين لإعادة التركيز داخل نافذة Bastion.

ما هو الحد الأقصى لدقة الشاشة المدعومة عبر Bastion؟

حاليا، 1920x1080 (1080p) هو الحد الأقصى للدقة المدعومة.

هل يدعم Azure Bastion تكوين المنطقة الزمنية أو إعادة توجيه المنطقة الزمنية للأجهزة الظاهرية المستهدفة؟

لا يدعم Azure Bastion حالياً إعادة توجيه المنطقة الزمنية وهو غير قابل للتكوين في المنطقة الزمنية. يمكن تحديث إعدادات المنطقة الزمنية للجهاز الظاهري يدويا بعد الاتصال بنجاح بنظام التشغيل Guest.

هل سيتم قطع اتصال جلسة حالية أثناء الصيانة على مضيف Bastion؟

نعم، سيتم قطع اتصال الجلسات الموجودة على مورد Bastion الهدف أثناء الصيانة على مورد Bastion.

أقوم بالاتصال بجهاز ظاهري باستخدام نهج JIT، هل أحتاج إلى أذونات إضافية؟

إذا كان المستخدم يتصل بجهاز ظاهري باستخدام نهج JIT، فلا توجد أذونات إضافية مطلوبة. لمزيد من المعلومات حول الاتصال بجهاز ظاهري باستخدام نهج JIT، راجع تمكين الوصول في الوقت المناسب على الأجهزة الظاهرية.

الأسئلة المتداولة حول تناظر الشبكة الظاهرية

هل لا يزال بإمكاني نشر مضيفات Bastion متعددة عبر شبكات ظاهرية مقترنة؟

نعم. بشكل افتراضي، يرى المستخدم مضيف Bastion الذي تم نشره في نفس الشبكة الظاهرية التي يوجد بها الجهاز الظاهري. ومع ذلك، في قائمة الاتصال، يمكن للمستخدم رؤية العديد من مضيفات Bastion التي تم اكتشافها عبر الشبكات المقترنة. يمكنهم تحديد مضيف Bastion الذي يفضلون استخدامه للاتصال بالجهاز الظاهري المنشور في الشبكة الظاهرية.

إذا تم نشر شبكات VNets الخاصة بي في اشتراكات مختلفة، فهل سيعمل الاتصال عبر Bastion؟

نعم، سيستمر الاتصال عبر Bastion في العمل للشبكات الظاهرية النظيرة عبر اشتراك مختلف لمستأجر واحد. لا يتم دعم الاشتراكات عبر مستأجرين مختلفين. لمشاهدة Bastion في القائمة المنسدلة اتصال، يجب على المستخدم تحديد الاشتراكات التي لديه حق الوصول إليها في اشتراك >اشتراك عام.

عامل تصفية الاشتراكات العامة.

لدي حق الوصول إلى VNet، لكن لا يمكنني رؤية الجهاز الظاهري منتشراً هناك.

تأكد من أن المستخدم لديه حق الوصول للقراءة إلى كل من الجهاز الظاهري والشبكة الظاهرية النظيرة. بالإضافة إلى ذلك، تحقق ضمن IAM من أن المستخدم لديه وصول قراءة إلى الموارد التالية:

  • دور قارئ الملفات في الجهاز الظاهري.
  • دور قارئ الملفات في NIC باستخدام IP خاص في الجهاز الظاهري.
  • دور القارئ في مورد Azure Bastion.
  • دور القارئ على الشبكة الظاهرية (غير مطلوب إذا لم تكن هناك شبكة ظاهرية نظيرة).
الأذونات ‏‏الوصف نوع الإذن
Microsoft.Network/bastionHosts/read الحصول على Bastion Host الإجراء
Microsoft.Network/virtualNetworks/BastionHosts/action الحصول على مراجع Bastion Host في شبكة ظاهرية. الإجراء
Microsoft.Network/virtualNetworks/bastionHosts/default/action الحصول على مراجع Bastion Host في شبكة ظاهرية. الإجراء
Microsoft.Network/networkInterfaces/read الحصول على تعريف واجهة الشبكة. الإجراء
Microsoft.Network/networkInterfaces/ipconfigurations/read الحصول على تعريف تكوين عنوان IP لواجهة الشبكة. الإجراء
Microsoft.Network/virtualNetworks/read الحصول على تعريف الشبكة الظاهرية الإجراء
Microsoft.Network/virtualNetworks/subnets/virtualMachines/read الحصول على مراجع لجميع الأجهزة الظاهرية في شبكة فرعية ظاهرية الإجراء
Microsoft.Network/virtualNetworks/virtualMachines/read الحصول على مراجع لجميع الأجهزة الظاهرية في شبكة ظاهرية الإجراء

الخطوات التالية

لمزيد من المعلومات، راجع معلومات حول Azure Bastion.