Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Oddíly v tomto článku diskutují o prostředcích a nastaveních služby Azure Bastion.
Skladové položky
SKU je také známé jako úroveň. Azure Bastion podporuje více úrovní SKU. Při konfiguraci Bastionu vyberete úroveň skladové položky. Úroveň SKU si určíte podle funkcí, které chcete použít. Následující tabulka uvádí dostupnost funkcí na odpovídající skladovou položku.
| Funkce | Základní SKU | Standardní SKU | Prémiová jednotka SKU |
|---|---|---|---|
| Připojení k cílovým virtuálním počítačům ve stejné virtuální síti | Ano | Ano | Ano |
| Připojení k cílovým virtuálním počítačům v partnerských virtuálních sítích | Ano | Ano | Ano |
| Podpora souběžných připojení | Ano | Ano | Ano |
| Přístup k privátním klíčům virtuálního počítače s Linuxem ve službě Azure Key Vault (AKV) | Ano | Ano | Ano |
| Připojení k virtuálnímu počítači s Linuxem pomocí SSH | Ano | Ano | Ano |
| Připojení k virtuálnímu počítači s Windows pomocí protokolu RDP | Ano | Ano | Ano |
| Připojení k virtuálnímu počítači s Linuxem pomocí protokolu RDP | Ne | Ano | Ano |
| Připojení k virtuálnímu počítači s Windows pomocí SSH | Ne | Ano | Ano |
| Určení vlastního příchozího portu | Ne | Ano | Ano |
| Připojení k virtuálním počítačům pomocí Azure CLI | Ne | Ano | Ano |
| Škálování hostitele | Ne | Ano | Ano |
| Nahrání nebo stažení souborů | Ne | Ano | Ano |
| Ověřování protokolem Kerberos | Ano | Ano | Ano |
| Odkaz ke sdílení | Ne | Ano | Ano |
| Připojení k virtuálním počítačům přes IP adresu | Ne | Ano | Ano |
| Výstup zvuku virtuálního počítače | Ano | Ano | Ano |
| Zakázání kopírování a vkládání (webových klientů) | Ne | Ano | Ano |
| Nahrávání relace | Ne | Ne | Ano |
| Nasazení jen pro privátní uživatele | Ne | Ne | Ano |
Vývojář Bastionu
Bastion Developer je bezplatná, jednoduchá nabídka služby Azure Bastion. Tato nabídka je ideální pro uživatele pro vývoj/testování, kteří se chtějí bezpečně připojit ke svým virtuálním počítačům, ale nepotřebují další funkce Bastionu ani škálování hostitele. Pomocí služby Bastion Developer se můžete připojit k jednomu virtuálnímu počítači Azure najednou přímo přes stránku pro připojení virtuálního počítače.
Když se připojíte pomocí nástroje Bastion Developer, požadavky na nasazení se liší od nasazení pomocí jiných skladových položek. Typically when you create a bastion host, a host is deployed to the AzureBastionSubnet in your virtual network. The Bastion host is dedicated for your use, whereas Bastion Developer isn't. Vzhledem k tomu, že prostředek Bastion Developer není vyhrazený, jsou funkce pro Bastion Developer omezené. Produkt Bastion Developer můžete kdykoli upgradovat na konkrétní SKU , pokud potřebujete podporovat více funkcí. See Upgrade a SKU.
Vývojář bastionu je aktuálně dostupný v následujících oblastech:
- Austrálie – střed
- Austrálie – východ
- Austrálie – jihovýchod
- Brazílie – jih
- Střední Kanada
- Kanada – východ
- Střední Indie
- USA – střed
- Centrální USA EUAP
- Východní Asie
- Východ USA 2
- East US 2 EUAP
- Francie – střed
- Německo – středozápad
- Itálie – sever
- Japonsko – východ
- Japonsko – západ
- Jižní Korea – střed
- Korea – jih
- Mexiko – střed
- Severní střed USA
- Severní Evropa
- Norsko – východ
- Střední Polsko
- Jižní Afrika – sever
- Indie – jih
- Španělsko – střed
- Jihovýchodní Asie
- Švédsko – střed
- Švýcarsko – sever
- Spojené arabské emiráty – sever
- Velká Británie – jih
- Velká Británie – západ
- Západní Evropa
- USA – západ
- Středozápad USA
Poznámka:
Propojení VNetu se v současné době nepodporuje u Bastion Developer.
Prémiové SKU
The Premium SKU is a new SKU that supports Bastion features such as Session Recording and Private-Only Bastion. Když nasadíte Bastion, doporučujeme vybrat skladovou položku Premium jenom v případě, že potřebujete funkce, které podporuje.
Určení skladové položky
| metoda | Hodnota skladové položky | Odkazy |
|---|---|---|
| portál Azure | Úroveň – vývojář | Rychlý start |
| portál Azure | Úroveň – Standard | Rychlý start |
| portál Azure | Úroveň – Basic nebo vyšší | Návod |
| Azure PowerShell | Úroveň – Basic nebo vyšší | Jak na to |
| Azure CLI | Úroveň – Basic nebo vyšší | Jak na to |
Upgrade a SKU
Skladovou položku můžete kdykoli upgradovat a přidat další funkce. For more information, see Upgrade a SKU.
Poznámka:
Downgradování skladové položky se nepodporuje. Pokud chcete downgradovat, musíte službu Azure Bastion odstranit a znovu vytvořit.
Podsíť Služby Azure Bastion
Důležité
Pro prostředky Služby Azure Bastion nasazené 2. listopadu 2021 nebo novější je minimální velikost podsítě AzureBastionSubnet /26 nebo větší (/25, /24 atd.). Na všechny prostředky služby Azure Bastion nasazené v podsítích velikosti /27 před tímto datem tato změna nemá vliv, ale důrazně doporučujeme zvětšit velikost existující podsítě AzureBastionSubnet na /26, pokud se rozhodnete využít škálování hostitele v budoucnu.
Když nasadíte Azure Bastion pomocí libovolného SKU kromě nabídky Bastion Developer, Bastion vyžaduje vyhrazenou podsíť názvem AzureBastionSubnet. Tuto podsíť musíte vytvořit ve stejné virtuální síti, do které chcete nasadit Azure Bastion. Podsíť musí mít následující konfiguraci:
- Název podsítě musí být AzureBastionSubnet.
- Velikost podsítě musí být /26 nebo větší (/25, /24 atd.).
- Pro škálování hostitele se doporučuje podsíť /26 nebo větší. Použití menšího prostoru podsítě omezuje počet jednotek škálování. Další informace najdete v části Škálování hostitele tohoto článku.
- Podsíť musí být ve stejné virtuální síti a skupině prostředků jako bastion hostitel.
- Podsíť nemůže obsahovat jiné zdroje.
Toto nastavení můžete nakonfigurovat pomocí následujících metod:
| metoda | Hodnota | Odkazy |
|---|---|---|
| portál Azure | Podsíť |
Rychlý start Návod |
| Azure PowerShell | -subnetName | cmdlet |
| Azure CLI | --subnet-name (název podsítě) | příkaz |
Veřejná IP adresa
Nasazení služby Azure Bastion, s výjimkou Bastion Developer a Private-only , vyžadují veřejnou IP adresu. Veřejná IP adresa musí mít následující konfiguraci:
- SKU veřejné IP adresy musí být Standard.
- Metoda přiřazení nebo přidělení veřejné IP adresy musí být statická.
- Název veřejné IP adresy je název prostředku, kterým chcete odkazovat na tuto veřejnou IP adresu.
- Můžete použít veřejnou IP adresu, kterou jste už vytvořili, pokud splňuje kritéria požadovaná službou Azure Bastion a ještě se nepoužívá.
Toto nastavení můžete nakonfigurovat pomocí následujících metod:
| metoda | Hodnota | Odkazy |
|---|---|---|
| portál Azure | Veřejná IP adresa | Azure Portal |
| Azure PowerShell | -VeřejnáIPAdresa | cmdlet |
| Azure CLI | --public-ip create | příkaz |
Případy a škálování hostitele
Instance je optimalizovaný virtuální počítač Azure, který se vytvoří při konfiguraci služby Azure Bastion. Plně spravuje Azure a spouští všechny procesy potřebné pro Azure Bastion. Instance se také označuje jako jednotka škálování. Připojíte se k klientským virtuálním počítačům prostřednictvím instance služby Azure Bastion. Při konfiguraci služby Azure Bastion pomocí základní skladové položky se vytvoří dvě instance. Pokud používáte skladovou položku Standard nebo vyšší, můžete zadat počet instancí (s minimálně dvěma instancemi). Tomu se říká škálování hostitele.
Každá instance může podporovat 20 souběžných připojení RDP a 40 souběžných připojení SSH pro střední úlohy (další informace najdete v omezeních a kvótách předplatného Azure). Počet připojení na instance závisí na tom, jaké akce provádíte při připojení k klientskému virtuálnímu počítači. Pokud například děláte něco náročného na data, vytváří to větší zatížení pro instanci ke zpracování. Once the concurrent sessions are exceeded, another scale unit (instance) is required.
Instance se vytvářejí v podsítě AzureBastionSubnet. Aby bylo možné škálování hostitele, měla by být podsíť AzureBastionSubnet /26 nebo větší. Použití menší podsítě omezuje počet instancí, které můžete vytvořit. Další informace o podsíti AzureBastionSubnet najdete v části podsítě v tomto článku.
Toto nastavení můžete nakonfigurovat pomocí následujících metod:
| metoda | Hodnota | Odkazy | Vyžaduje SKU standardní nebo vyšší. |
|---|---|---|---|
| portál Azure | Počet instancí | Jak na to | Ano |
| Azure PowerShell | ScaleUnit | Jak na to | Ano |
Vlastní porty
Můžete zadat port, který chcete použít pro připojení k virtuálním počítačům. Ve výchozím nastavení jsou příchozí porty používané pro připojení 3389 pro protokol RDP a 22 pro SSH. Pokud nakonfigurujete vlastní hodnotu portu, zadejte tuto hodnotu při připojení k virtuálnímu počítači.
Vlastní nastavení portů jsou podporována pouze pro SKU Standard nebo vyšší.
Odkaz ke sdílení
Funkce Bastion Shareable Link umožňuje uživatelům připojit se k cílovému prostředku pomocí služby Azure Bastion bez přístupu k webu Azure Portal.
Když uživatel bez přihlašovacích údajů Azure klikne na odkaz ke sdílení, otevře se webová stránka s výzvou, aby se uživatel přihlásil k cílovému prostředku přes protokol RDP nebo SSH. Uživatelé se ověřují pomocí uživatelského jména a hesla nebo privátního klíče v závislosti na tom, co jste nakonfigurovali na webu Azure Portal pro tento cílový prostředek. Uživatelé se můžou připojit ke stejným prostředkům, ke kterým se aktuálně můžete připojit pomocí služby Azure Bastion: virtuální počítače nebo škálovací sada virtuálních počítačů.
| metoda | Hodnota | Odkazy | Vyžaduje SKU standardní nebo vyšší. |
|---|---|---|---|
| portál Azure | Odkaz ke sdílení | Konfigurace | Ano |
Nasazení jen pro privátní uživatele
Private-only Bastion deployments lock down workloads end-to-end by creating a non-internet routable deployment of Bastion that allows only private IP address access. Nasazení Bastionu, která jsou pouze privátní, neumožňují připojení k hostiteli bastionu prostřednictvím veřejné IP adresy. Naproti tomu běžné nasazení služby Azure Bastion umožňuje uživatelům připojit se k hostiteli bastionu pomocí veřejné IP adresy. Další informace naleznete v tématu Nasazení Bastionu pouze jako privátní.
Nahrávání relace
When the Azure Bastion Session recording feature is enabled, you can record the graphical sessions for connections made to virtual machines (RDP and SSH) via the bastion host. Po uzavření nebo odpojení relace jsou zaznamenané relace uloženy v blobovém kontejneru ve vašem úložišti (přes SAS URL). Když je relace odpojená, můžete získat přístup k zaznamenaným relacím a zobrazit je na webu Azure Portal na stránce Záznam relace. Session recording requires the Bastion Premium SKU. Další informace naleznete v tématu Záznam relace Bastionu.
Zóny dostupnosti
Některé oblasti podporují možnost nasazení služby Azure Bastion do zóny dostupnosti (nebo více pro redundanci zón). Pokud chcete nasadit zónově, nasaďte Bastion pomocí ručně zadaných nastavení (nenasazujte pomocí automatického výchozího nastavení). Zadejte požadované zóny dostupnosti v době nasazení. Po nasazení Bastionu nemůžete změnit zónovou dostupnost.
Podpora pro Zóny dostupnosti je aktuálně ve verzi Preview. Ve verzi Preview jsou k dispozici následující oblasti:
- USA – východ
- Austrálie – východ
- Východ USA 2
- USA – střed
- Střední Katar
- Jižní Afrika – sever
- Západní Evropa
- Západní USA 2
- Severní Evropa
- Švédsko – střed
- Velká Británie – jih
- Střední Kanada
Další kroky
Nejčastější dotazy najdete v nejčastějších dotazech ke službě Azure Bastion.