Nejčastější dotazy ke službě Azure Bastion
Nejčastější dotazy ke službě Bastion a nasazení
Které prohlížeče se podporují?
Prohlížeč musí podporovat HTML 5. Používejte prohlížeč Microsoft Edge nebo Google Chrome ve Windows. Na počítačích Apple Mac používejte prohlížeč Google Chrome. V systému Windows i Mac se také podporuje Microsoft Edge Chromium.
Jak je to s cenami?
Ceny služby Azure Bastion jsou kombinací hodinových cen na základě skladových položek a instancí (jednotek škálování) a rychlosti přenosu dat. Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Nejnovější informace o cenách najdete na stránce s cenami služby Azure Bastion.
Podporuje se protokol IPv6?
V tuto chvíli se protokol IPv6 nepodporuje. Azure Bastion podporuje jenom protokol IPv4. To znamená, že ke svému prostředku Bastionu můžete přiřadit pouze veřejnou IP adresu IPv4 a k připojení k cílovým virtuálním počítačům IPv4 můžete použít Bastion. Bastion můžete použít také k připojení k cílovým virtuálním počítačům se dvěma zásobníky, ale provoz IPv4 budete moct odesílat a přijímat jenom přes Azure Bastion.
Kde Azure Bastion ukládá zákaznická data?
Azure Bastion nepřesune ani neukládá zákaznická data z oblasti, ve které jsou nasazená.
Podporuje Azure Bastion zóny dostupnosti?
Některé oblasti podporují možnost nasazení služby Azure Bastion do zóny dostupnosti (nebo více pro redundanci zón). Pokud chcete nasadit zónově, můžete při nasazování Bastionu pomocí ručně zadaných nastavení vybrat zóny dostupnosti, které chcete nasadit v podrobnostech instance. Po nasazení Bastionu nemůžete změnit zónovou dostupnost. Pokud nemůžete vybrat zónu, možná jste vybrali oblast Azure, která ještě nepodporuje zóny dostupnosti. Další informace o zónách dostupnosti najdete v tématu Zóny dostupnosti.
Podporuje Azure Bastion virtual WAN?
Ano, Azure Bastion můžete použít pro nasazení služby Virtual WAN. Nasazení služby Azure Bastion v rámci centra Virtual WAN se ale nepodporuje. Azure Bastion můžete nasadit ve virtuální síti paprsku a pomocí funkce připojení založené na PROTOKOLU IP se připojit k virtuálním počítačům nasazeným v jiné virtuální síti přes centrum Virtual WAN. Pokud bude centrum Azure Virtual WAN integrované se službou Azure Firewall jako zabezpečené virtuální centrum, musí se podsíť AzureBastionSubnet nacházet ve virtuální síti, kde je na úrovni připojení virtuální sítě zakázané výchozí šíření tras 0.0.0.0/0.
Můžu použít Azure Bastion, pokud vynutím tunelování internetového provozu zpět do místního umístění?
Ne, pokud inzerujete výchozí trasu (0.0.0.0/0) přes ExpressRoute nebo VPN a tato trasa se vloží do virtuálních sítí, přeruší se tím služba Azure Bastion.
Aby se služba Azure Bastion mohla úspěšně připojit k cílovým prostředkům, musí být schopná komunikovat s určitými interními koncovými body. Proto můžete použít Službu Azure Bastion s zónami Azure Privátní DNS, pokud se vybraný název zóny nepřekrývá s pojmenováním těchto interních koncových bodů. Před nasazením prostředku Azure Bastion se ujistěte, že hostitelská virtuální síť není propojená s privátní zónou DNS s následujícími přesnými názvy:
- management.azure.com
- blob.core.windows.net
- core.windows.net
- vaultcore.windows.net
- vault.azure.net
- azure.com
Můžete použít privátní zónu DNS končící jedním z názvů v předchozím seznamu (např. privatelink.blob.core.windows.net).
Azure Bastion se nepodporuje u zón Azure Privátní DNS v národních cloudech.
Moje privatelink.azure.com nejde přeložit na management.privatelink.azure.com
Příčinou může být privátní zóna DNS pro privatelink.azure.com propojená s virtuální sítí Bastion, což způsobuje, že management.azure.com CNAMEs se přeloží na management.privatelink.azure.com na pozadí. Vytvořte záznam CNAME v zóně privatelink.azure.com, aby management.privatelink.azure.com arm-frontdoor-prod.trafficmanager.net, aby bylo možné povolit úspěšné překlady DNS.
Podporuje Azure Bastion Private Link?
Ne, Azure Bastion v současné době nepodporuje Službu Azure Private Link.
Proč se mi na portálu zobrazuje chyba Nepovedlo se přidat podsíť?
V tuto chvíli musíte pro většinu adresních prostorů přidat podsíť s názvem AzureBastionSubnet do virtuální sítě, než vyberete Nasadit Bastion.
Vyžadují se pro nasazení Bastionu do podsítě AzureBastionSubnet speciální oprávnění?
K nasazení Bastionu do podsítě AzureBastionSubnet se vyžadují oprávnění k zápisu. Příklad: Microsoft.Network/virtualNetworks/write.
Můžu mít podsíť Služby Azure Bastion s velikostí /27 nebo menší (/28, /29 atd.)?
Pro prostředky Služby Azure Bastion nasazené 2. listopadu 2021 nebo novější je minimální velikost podsítě AzureBastionSubnet /26 nebo větší (/25, /24 atd.). Na všechny prostředky služby Azure Bastion nasazené v podsítích velikosti /27 před tímto datem tato změna nemá vliv a budou fungovat i nadále. Důrazně ale doporučujeme zvětšit velikost jakékoli existující podsítě AzureBastionSubnet na /26, pokud se rozhodnete využít škálování hostitele v budoucnu.
Můžu do podsítě Služby Azure Bastion nasadit více prostředků Azure?
Ne. Podsíť Azure Bastion (AzureBastionSubnet) je vyhrazená jenom pro nasazení vašeho prostředku Služby Azure Bastion.
Podporuje se uživatelem definované směrování (UDR) v podsíti Služby Azure Bastion?
Ne. UDR se nepodporuje v podsíti služby Azure Bastion.
V případě scénářů, které zahrnují azure Bastion i síťové virtuální zařízení (NVA) ve stejné virtuální síti, nemusíte vynucovat provoz z podsítě služby Azure Bastion do služby Azure Firewall, protože komunikace mezi službou Azure Bastion a vašimi virtuálními počítači je soukromá. Další informace najdete v tématu Přístup k virtuálním počítačům za službou Azure Firewall pomocí Bastionu.
Jakou skladovou položku mám použít?
Azure Bastion má několik skladových položek. V závislosti na požadavcích na připojení a funkce byste měli vybrat skladovou položku. Úplný seznam úrovní skladových položek a podporovaných připojení a funkcí najdete v článku Nastavení konfigurace.
Můžu upgradovat skladovou položku?
Ano. Postup najdete v tématu Upgrade skladové položky. Další informace o cenových úrovních najdete v článku Nastavení konfigurace.
Můžu downgradovat skladovou položku?
Ne. Downgradování skladové položky se nepodporuje. Další informace o cenových úrovních najdete v článku Nastavení konfigurace.
Podporuje Bastion připojení k Azure Virtual Desktopu?
Ne, připojení Bastionu k Azure Virtual Desktopu se nepodporuje.
Jak si mám poradit se selháními nasazení?
Zkontrolujte všechny chybové zprávy a podle potřeby vytvořte žádost o podporu na webu Azure Portal . Selhání nasazení můžou mít za následek limity, kvóty a omezení předplatného Azure. Konkrétně můžou zákazníci narazit na limit počtu veřejných IP adres povolených pro každé předplatné, které způsobí selhání nasazení služby Azure Bastion.
Návody začlenit Službu Azure Bastion do plánu zotavení po havárii?
Azure Bastion je nasazený v rámci virtuálních sítí nebo partnerských virtuálních sítí a je přidružený k oblasti Azure. Zodpovídáte za nasazení služby Azure Bastion do virtuální sítě lokality zotavení po havárii (DR). Pokud dojde k selhání oblasti Azure, proveďte operaci převzetí služeb při selhání pro virtuální počítače do oblasti zotavení po havárii. Pak se pomocí hostitele Služby Azure Bastion nasazeného v oblasti zotavení po havárii připojte k virtuálním počítačům, které jsou tam teď nasazené.
Podporuje Bastion přesun virtuální sítě do jiné skupiny prostředků?
Ne. Pokud virtuální síť přesunete do jiné skupiny prostředků (i když je ve stejném předplatném), budete muset nejprve odstranit Bastion z virtuální sítě a pak pokračovat přesunem virtuální sítě do nové skupiny prostředků. Jakmile je virtuální síť v nové skupině prostředků, můžete Bastion nasadit do virtuální sítě.
Podporuje Bastion redundance zón?
Ve výchozím nastavení nová nasazení Bastionu nepodporují redundanci zón. Dříve nasazené basy můžou nebo nemusí být zónově redundantní. Výjimkou jsou nasazení Bastionu v Koreji – střed a jihovýchodní Asii, které podporují redundanci zón.
Podporuje Bastion účty hostů Microsoft Entra?
Ano, účty hosta Microsoft Entra můžou mít udělený přístup ke službě Bastion a můžou se připojit k virtuálním počítačům. Uživatelé typu host Microsoft Entra se ale nemůžou připojit k virtuálním počítačům Azure prostřednictvím ověřování Microsoft Entra. Uživatelé bez hosta se podporují prostřednictvím ověřování Microsoft Entra. Další informace o ověřování Microsoft Entra pro virtuální počítače Azure (pro uživatele bez hosta) najdete v tématu Přihlášení k virtuálnímu počítači s Windows v Azure pomocí Microsoft Entra ID.
Podporují se vlastní domény s odkazy bastionu pro sdílení?
Ne, vlastní domény nejsou podporované u odkazů, které je možné sdílet s Bastionem. Uživatelům se při pokusu o přidání konkrétních domén v CN/SAN hostitelského certifikátu Bastionu zobrazí chyba certifikátu certifikátu.
Nejčastější dotazy k připojením k virtuálním počítačům a dostupným funkcím
Vyžadují se pro přístup k virtuálnímu počítači nějaké role?
Aby bylo možné vytvořit připojení, jsou vyžadovány následující role:
- Role čtenáře na virtuálním počítači.
- Role čtenáře na síťové kartě s privátní IP adresou virtuálního počítače.
- Role čtenáře prostředku Azure Bastion.
- Role čtenáře ve virtuální síti cílového virtuálního počítače (pokud je nasazení Bastionu v partnerské virtuální síti).
Kromě toho musí mít uživatel práva (pokud je to potřeba) pro připojení k virtuálnímu počítači. Pokud se například uživatel připojuje k virtuálnímu počítači s Windows přes protokol RDP a není členem místní skupiny Správa istrators, musí být členem skupiny Uživatelé vzdálené plochy.
Proč se mi před spuštěním relace Bastion zobrazí chybová zpráva "Platnost relace vypršela"?
Pokud přejdete na adresu URL přímo z jiné relace prohlížeče nebo karty, očekává se tato chyba. Pomáhá zajistit, aby vaše relace byla bezpečnější a aby k ní bylo možné přistupovat pouze prostřednictvím webu Azure Portal. Přihlaste se k webu Azure Portal a znovu spusťte relaci.
Potřebuji veřejnou IP adresu na svém virtuálním počítači pro připojení přes Azure Bastion?
Ne. Když se připojíte k virtuálnímu počítači pomocí služby Azure Bastion, nepotřebujete veřejnou IP adresu na virtuálním počítači Azure, ke kterému se připojujete. Služba Bastion otevře relaci RDP/SSH/připojení k virtuálnímu počítači přes privátní IP adresu vašeho virtuálního počítače v rámci vaší virtuální sítě.
Budu potřebovat klienta SSH nebo RDP?
Ne. Ke svému virtuálnímu počítači můžete přistupovat z webu Azure Portal pomocí prohlížeče. Dostupná připojení a metody najdete v tématu O připojeních a funkcích virtuálních počítačů.
Potřebují uživatelé pro připojení RDP konkrétní práva na cílovém virtuálním počítači?
Když se uživatel připojí k virtuálnímu počítači s Windows přes protokol RDP, musí mít na cílovém virtuálním počítači práva. Pokud uživatel není místním správcem, přidejte ho do skupiny Uživatelé vzdálené plochy na cílovém virtuálním počítači.
Můžu se k virtuálnímu počítači připojit pomocí nativního klienta?
Ano. K virtuálnímu počítači se můžete připojit z místního počítače pomocí nativního klienta. Viz Připojení k virtuálnímu počítači pomocí nativního klienta.
Budu potřebovat agenta běžícího ve virtuálním počítači Azure?
Ne. Nemusíte instalovat agenta ani žádný software do prohlížeče nebo virtuálního počítače Azure. Služba Bastion je bez agentů a nevyžaduje žádný další software pro protokol RDP/SSH.
Jaké funkce jsou podporovány pro relace virtuálních počítačů?
Informace o připojeních a funkcích virtuálních počítačů najdete v tématu o podporovaných funkcích.
Je pro místní uživatele, kteří se připojují přes odkaz ke sdílení, dostupné resetování hesla?
Ne. Některé organizace mají firemní zásady, které vyžadují resetování hesla, když se uživatel poprvé přihlásí k místnímu účtu. Když používáte odkazy ke sdílení, uživatel nemůže změnit heslo, i když se může zobrazit tlačítko Resetovat heslo.
Je pro virtuální počítače k dispozici vzdálený zvuk?
Ano. Viz Informace o připojeních a funkcích virtuálních počítačů.
Podporuje Azure Bastion přenos souborů?
Azure Bastion nabízí podporu přenosu souborů mezi cílovým virtuálním počítačem a místním počítačem pomocí Bastionu a nativního klienta RDP nebo SSH. V tuto chvíli nemůžete nahrávat ani stahovat soubory pomocí PowerShellu nebo přes Azure Portal. Další informace naleznete v tématu Nahrávání a stahování souborů pomocí nativního klienta.
Funguje posílení zabezpečení Bastionu s virtuálními počítači připojenými k rozšířením AADJ?
Tato funkce nefunguje s počítači připojenými k rozšířeníM AADJ pomocí uživatelů Microsoft Entra. Další informace najdete v tématu Přihlášení k virtuálnímu počítači s Windows v Azure pomocí Microsoft Entra ID.
Je Bastion kompatibilní s virtuálními počítači nastavenými jako hostitelé relací RDS?
Bastion nepodporuje připojení k virtuálnímu počítači, který je nastavený jako hostitel relace RDS.
Která rozložení klávesnice se podporují během vzdálené relace Bastionu?
Azure Bastion v současné době podporuje následující rozložení klávesnice na virtuálním počítači:
- en-us-qwerty
- en-gb-qwerty
- de-ch-qwertz
- de-de-qwertz
- fr-be-azerty
- fr-fr-azerty
- fr-ch-qwertz
- hu-hu-qwertz
- it-it-qwerty
- ja-jp-qwerty
- pt-br-qwerty
- es-es-qwerty
- es-latam-qwerty
- sv-se-qwerty
- tr-tr-qwerty
Pokud chcete vytvořit správné mapování kláves pro cílový jazyk, musíte v místním počítači nastavit rozložení klávesnice na cílový jazyk a rozložení klávesnice uvnitř cílového virtuálního počítače na cílový jazyk. Obě klávesnice musí být nastavené na cílový jazyk, aby se v cílovém virtuálním počítači nastavily správné mapování kláves.
Pokud chcete nastavit cílový jazyk jako rozložení klávesnice na pracovní stanici s Windows, přejděte na Nastavení > Jazyk a oblast jazyka a času>. V části Upřednostňované jazyky vyberte Přidat jazyk a přidejte cílový jazyk. Pak uvidíte rozložení klávesnice na panelu nástrojů. Pokud chcete nastavit angličtinu (USA) jako rozložení klávesnice, vyberte na panelu nástrojů "ENG" nebo kliknutím na windows + mezerník otevřete rozložení klávesnice.
Existuje řešení klávesnice pro přepínání fokusu mezi virtuálním počítačem a prohlížečem?
Uživatelé můžou pomocí kombinace kláves Ctrl+Shift+Alt efektivně přepínat fokus mezi virtuálním počítačem a prohlížečem.
Návody přebít fokus klávesnice nebo myši z instance?
Dvakrát po sobě klikněte na klávesu Windows a přesuňte fokus zpět v okně Bastionu.
Jaké je maximální rozlišení obrazovky podporované prostřednictvím Bastionu?
V současné době je maximální podporované rozlišení 1920x1080 (1080p).
Podporuje Azure Bastion konfiguraci časového pásma nebo přesměrování časového pásma pro cílové virtuální počítače?
Azure Bastion v současné době nepodporuje přesměrování časového pásma a není možné konfigurovat časové pásmo. Nastavení časového pásma pro virtuální počítač je možné po úspěšném připojení k hostovanému operačnímu systému aktualizovat ručně.
Odpojí se existující relace během údržby na hostiteli Bastion?
Ano, existující relace cílového prostředku Bastion se během údržby prostředku Bastion odpojí.
Připojujem se k virtuálnímu počítači pomocí zásad JIT, potřebuji další oprávnění?
Pokud se uživatel připojuje k virtuálnímu počítači pomocí zásad JIT, nejsou potřeba žádná další oprávnění. Další informace o připojení k virtuálnímu počítači pomocí zásad JIT najdete v tématu Povolení přístupu za běhu na virtuálních počítačích.
Nejčastější dotazy k peeringu virtuálních sítí
Můžu stále nasadit více hostitelů Bastionu napříč partnerskými virtuálními sítěmi?
Ano. Ve výchozím nastavení se uživateli zobrazí hostitel Bastion nasazený ve stejné virtuální síti, ve které se nachází virtuální počítač. V nabídce Připojení ale může uživatel zobrazit více hostitelů Bastion rozpoznaných napříč partnerskými sítěmi. Můžou vybrat hostitele Bastionu, kterého preferují pro připojení k virtuálnímu počítači nasazeného ve virtuální síti.
Pokud jsou moje partnerské virtuální sítě nasazené v různých předplatných, bude připojení přes Bastion fungovat?
Ano, připojení přes Bastion bude dál fungovat pro partnerské virtuální sítě v různých předplatných pro jednoho tenanta. Předplatná napříč dvěma různými tenanty se nepodporují. Pokud chcete zobrazit Bastion v rozevírací nabídce Připojení, musí uživatel vybrat dílčí položky, ke kterým má přístup v globálním předplatném předplatného>.
Mám přístup k partnerské virtuální síti, ale virtuální počítač se tam nezobrazuje.
Ujistěte se, že má uživatel přístup pro čtení k virtuálnímu počítači i k partnerské virtuální síti. Dále v části IAM zkontrolujte, jestli má uživatel přístup ke čtení k následujícím prostředkům:
- Role čtenáře na virtuálním počítači.
- Role čtenáře na síťové kartě s privátní IP adresou virtuálního počítače.
- Role čtenáře prostředku Azure Bastion.
- Role čtenáře ve virtuální síti (není potřeba, pokud není v partnerské virtuální síti).
| Oprávnění | Popis | Typ oprávnění |
|---|---|---|
| Microsoft.Network/bastionHosts/read | Získá hostitele Bastion | Akce |
| Microsoft.Network/virtualNetworks/BastionHosts/action | Získá odkazy na Bastion Host ve virtuální síti. | Akce |
| Microsoft.Network/virtualNetworks/bastionHosts/default/action | Získá odkazy na Bastion Host ve virtuální síti. | Akce |
| Microsoft.Network/networkInterfaces/read | Získá definici síťového rozhraní. | Akce |
| Microsoft.Network/networkInterfaces/ipconfigurations/read | Získá definici konfigurace PROTOKOLU IP síťového rozhraní. | Akce |
| Microsoft.Network/virtualNetworks/read | Získání definice virtuální sítě | Akce |
| Microsoft.Network/virtualNetworks/subnets/virtualMachines/read | Získá odkazy na všechny virtuální počítače v podsíti virtuální sítě. | Akce |
| Microsoft.Network/virtualNetworks/virtualMachines/read | Získá odkazy na všechny virtuální počítače ve virtuální síti. | Akce |
Další kroky
Další informace najdete v tématu Co je Azure Bastion.