إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
تناقش الأقسام الموجودة في هذه المقالة الموارد والإعدادات الخاصة بـ Azure Bastion.
الشبكة الفرعية Azure Bastion
هام
بالنسبة لموارد Azure Bastion التي تم توزيعها في 2 نوفمبر 2021 أو بعده، يكون الحد الأدنى لحجم AzureBastionSubnet هو/26 أو أكبر (/ 25،/24، وما إلى ذلك). جميع موارد Azure Bastion التي تم توزيعها في شبكات فرعية بالحجم / 27 قبل هذا التاريخ لا تتأثر بهذا التغيير وستستمر في العمل، لكننا نوصي بشدة بزيادة حجم أي AzureBastionSubnet موجود إلى / 26 في حالة اختيارك للاستفادة من تحجيم المضيف في المستقبل.
عند نشر Azure Bastion باستخدام أي SKU باستثناء عرض Bastion Developer، يتطلب Bastion شبكة فرعية مخصصة تسمى AzureBastionSubnet. يجب إنشاء هذه الشبكة الفرعية في نفس الشبكة الظاهرية التي تريد توزيع Azure Bastion عليها. يجب أن تحتوي الشبكة الفرعية على التكوين التالي:
- يجب أن يكون اسم الشبكة الفرعية هو AzureBastionSubnet.
- يجب أن يكون حجم الشبكة الفرعية / 26 أو أكبر (/ 25، / 24 وما إلى ذلك).
- لتحجيم المضيف، يوصى باستخدام شبكة فرعية / 26 أو شبكة فرعية أكبر. يؤدي استخدام مساحة شبكة فرعية أصغر إلى الحد من عدد وحدات المقياس. للحصول على مزيدٍ من المعلومات، راجع قسم تحجيم المضيف من هذه المقالة.
- يجب أن تكون الشبكة الفرعية في نفس الشبكة الظاهرية ومجموعة الموارد مثل مضيف bastion.
- لا يمكن أن تحتوي الشبكة الفرعية على موارد أخرى.
يمكنك تكوين هذا الإعداد باستخدام الطرق التالية:
| الأسلوب | القيمة | الارتباطات |
|---|---|---|
| مدخل Azure | الشبكة الفرعية | التشغيل السريع |
| Azure PowerShell | -subnetName | cmdlet |
| Azure CLI | --subnet-name | الأمر |
عنوان IP العام
تتطلب عمليات نشر Azure Bastion، باستثناء Bastion Developer وPrivate فقط، عنوان IP عام. يجب أن يحتوي عنوان IP العام على التكوين التالي:
- يجب أن تكون وحدة SKU لعنوان IP العام قياسياً.
- يجب أن تكون طريقة تخصيص / تخصيص عنوان IP العام ثابتة.
- اسم عنوان IP العام هو اسم المورد الذي تريد الإشارة من خلاله إلى عنوان IP العام هذا.
- يمكنك اختيار استخدام عنوان IP عام قمت بإنشائه بالفعل، طالما أنه يفي بالمعايير المطلوبة من قبل Azure Bastion ولم يكن قيد الاستخدام بالفعل.
يمكنك تكوين هذا الإعداد باستخدام الطرق التالية:
| الأسلوب | القيمة | الارتباطات |
|---|---|---|
| مدخل Azure | عنوان IP العام | مدخل Microsoft Azure |
| Azure PowerShell | -PublicIpAddress | cmdlet |
| Azure CLI | --إنشاء public-ip | الأمر |
تكوين عناوين IP العامة مع مناطق التوفر التي تم تكوينها
ارجع إلى الجدول أدناه لإنشاء/استخدام عناوين IP العامة لعمليات نشر Bastion في المنطقة:
| السيناريو | مناطق توفر المقطع السفلي | مناطق توفر IP العامة |
|---|---|---|
| إنشاء عنوان IP عام جديد | 1, 2, 3 | 1, 2, 3 |
| 1 | 1, 2, 3 | |
| استخدام عنوان IP عام موجود | 1, 2, 3 | 1, 2, 3 |
| 1 | 1, 2, 3 | |
| 0 | جميع عناوين IP العامة ، المنطقة أم لا |
المثيلات وتحجيم المضيف
المثيل عبارة عن جهاز ظاهري في Azure محسن يتم إنشاؤه عند تكوين Azure Bastion. Azure يدير كل نسخة بالكامل نيابة عنك. يُشار إلى المثيل أيضاً على أنه خادم مخصص. يمكنك الاتصال بأجهزة ظاهرية للعميل عبر مثيل Azure Bastion. عند تكوين Azure Bastion باستخدام وحدة SKU الأساسية، يتم إنشاء مثيلين. إذا كنت تستخدم وحدة SKU القياسية أو أعلى، يمكنك تحديد عدد الحالات. وهذا ما يُسمى تحجيم المضيف.
لتكوين تحجيم المضيف، انظر إعداد تحجيم المضيف.
المنافذ المخصصة
يمكنك تحديد المنفذ الذي تريد استخدامه للاتصال بأجهزتك الظاهرية. بشكل افتراضي، المنافذ الداخلية المستخدمة للاتصال هي 3389 لـ RDP و22 لـ SSH. إذا قمت بتكوين قيمة منفذ مخصصة، فحدد هذه القيمة عند الاتصال بالجهاز الظاهري.
يتم دعم قيم المنفذ المخصص لوحدة SKU القياسية أو أعلى فقط.
ارتباط قابل للمشاركة
تتيح ميزة Bastion Shareable Link للمستخدمين الاتصال بمورد هدف باستخدام Azure Bastion دون الوصول إلى مدخل Microsoft Azure.
عندما ينقر مستخدم بدون بيانات اعتماد Azure فوق ارتباط قابل للمشاركة، تفتح صفحة ويب تطالب المستخدم بتسجيل الدخول إلى المورد الهدف عبر RDP أو SSH. يقوم المستخدمون بالمصادقة باستخدام اسم المستخدم وكلمة المرور أو المفتاح الخاص، اعتمادا على ما قمت بتكوينه في مدخل Microsoft Azure لهذا المورد الهدف. يمكن للمستخدمين الاتصال بنفس الموارد التي يمكنك الاتصال بها حاليا باستخدام Azure Bastion: الأجهزة الظاهرية أو مجموعة مقياس الجهاز الظاهري.
| الأسلوب | القيمة | الارتباطات | يتطلب SKU قياسيا أو أعلى |
|---|---|---|---|
| مدخل Azure | ارتباط قابل للمشاركة | تكوين | نعم |
النشر الخاص فقط
تقوم عمليات توزيع Bastion الخاصة فقط بتأمين أحمال العمل من طرف إلى طرف عن طريق إنشاء نشر غير قابل للتوجيه عبر الإنترنت من Bastion يسمح فقط بالوصول إلى عنوان IP الخاص. لا تسمح عمليات نشر Bastion الخاصة فقط بالاتصالات بمضيف bastion عبر عنوان IP العام. في المقابل، يسمح توزيع Azure Bastion العادي للمستخدمين بالاتصال بمضيف bastion باستخدام عنوان IP عام. لمزيد من المعلومات، راجع نشر Bastion كخاص فقط.
تسجيل الجلسة
عند تمكين ميزة تسجيل جلسة Azure Bastion، يمكنك تسجيل الجلسات الرسومية للاتصالات التي تم إجراؤها على الأجهزة الظاهرية (RDP وSSH) عبر مضيف bastion. بعد إغلاق الجلسة أو قطع الاتصال، يتم تخزين الجلسات المسجلة في حاوية كائن ثنائي كبير الحجم داخل حساب التخزين الخاص بك (عبر SAS URL). عند قطع اتصال جلسة العمل، يمكنك الوصول إلى جلسات العمل المسجلة وعرضها في مدخل Microsoft Azure في صفحة تسجيل الجلسة. يتطلب تسجيل الجلسة Bastion Premium SKU. لمزيد من المعلومات، راجع تسجيل جلسة Bastion.
مجموعات التوافر
تدعم بعض المناطق القدرة على نشر Azure Bastion في منطقة توفر (أو متعددة، لتكرار المنطقة). للنشر حسب المنطقة، قم بنشر Bastion باستخدام الإعدادات المحددة يدويا (لا تنشر باستخدام الإعدادات الافتراضية التلقائية). حدد مناطق التوفر المطلوبة في وقت التوزيع. لا يمكنك تغيير إعدادات منطقة التوفر بعد نشر Azure Bastion.
دعم مناطق التوفر قيد المعاينة حاليا. أثناء المعاينة، تتوفر المناطق التالية:
- شرق الولايات المتحدة
- شرق أستراليا
- East US 2
- Central US
- قطر الوسطى
- جنوب أفريقيا
- أوروبا الغربية
- West US 2
- أوروبا الشمالية
- منطقة السويد الوسطى
- جنوب المملكة المتحدة
- وسط كندا
الخطوات التالية
- تعرف على الأسئلة الشائعة في Azure Bastion.
- تعرف على مستويات SKU المختلفة في Azure Bastion واختر الفئة المناسبة لمتطلباتك.
- تعلم كيفية تحسين تكاليف Azure Bastion مع الحفاظ على وصول آمن عن بعد.
- تعلم كيفية إضافة المزيد من النسخ(وحدات التوسع) إلى Azure Bastion.