Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Oddíly v tomto článku diskutují o prostředcích a nastaveních služby Azure Bastion.
Podsíť Služby Azure Bastion
Důležité
Pro prostředky Služby Azure Bastion nasazené 2. listopadu 2021 nebo novější je minimální velikost podsítě AzureBastionSubnet /26 nebo větší (/25, /24 atd.). Na všechny prostředky služby Azure Bastion nasazené v podsítích velikosti /27 před tímto datem tato změna nemá vliv, ale důrazně doporučujeme zvětšit velikost existující podsítě AzureBastionSubnet na /26, pokud se rozhodnete využít škálování hostitele v budoucnu.
Když nasadíte Azure Bastion pomocí libovolného SKU kromě nabídky Bastion Developer, Bastion vyžaduje vyhrazenou podsíť názvem AzureBastionSubnet. Tuto podsíť musíte vytvořit ve stejné virtuální síti, do které chcete nasadit Azure Bastion. Podsíť musí mít následující konfiguraci:
- Název podsítě musí být AzureBastionSubnet.
- Velikost podsítě musí být /26 nebo větší (/25, /24 atd.).
- Pro škálování hostitele se doporučuje podsíť /26 nebo větší. Použití menšího prostoru podsítě omezuje počet jednotek škálování. Další informace najdete v části Škálování hostitele tohoto článku.
- Podsíť musí být ve stejné virtuální síti a skupině prostředků jako bastion hostitel.
- Podsíť nemůže obsahovat jiné zdroje.
Toto nastavení můžete nakonfigurovat pomocí následujících metod:
| metoda | Hodnota | Odkazy |
|---|---|---|
| Azure Portal | Podsíť | Rychlý start |
| Azure PowerShell | -subnetName | cmdlet |
| Azure CLI | --subnet-name (název podsítě) | příkaz |
Veřejná IP adresa
Nasazení služby Azure Bastion s výjimkou služby Bastion Developer a private-only vyžadují veřejnou IP adresu. Veřejná IP adresa musí mít následující konfiguraci:
- SKU veřejné IP adresy musí být Standard.
- Metoda přiřazení nebo přidělení veřejné IP adresy musí být statická.
- Název veřejné IP adresy je název prostředku, kterým chcete odkazovat na tuto veřejnou IP adresu.
- Můžete použít veřejnou IP adresu, kterou jste už vytvořili, pokud splňuje kritéria požadovaná službou Azure Bastion a ještě se nepoužívá.
Toto nastavení můžete nakonfigurovat pomocí následujících metod:
| metoda | Hodnota | Odkazy |
|---|---|---|
| Azure Portal | Veřejná IP adresa | Azure Portal |
| Azure PowerShell | -VeřejnáIPAdresa | cmdlet |
| Azure CLI | --public-ip create | příkaz |
Konfigurace veřejných IP adres s nakonfigurovanými zónami dostupnosti
V následující tabulce najdete informace o vytváření a používání veřejných IP adres pro nasazení zónového Bastionu:
| Scenario | Zóny dostupnosti Bastionu | Zóny dostupnosti veřejných IP adres |
|---|---|---|
| Vytvoření nové veřejné IP adresy | 1, 2, 3 | 1, 2, 3 |
| 1 | 1, 2, 3 | |
| Použití existující veřejné IP adresy | 1, 2, 3 | 1, 2, 3 |
| 1 | 1, 2, 3 | |
| 0 | všechny veřejné IP adresy, zónové nebo ne |
Případy a škálování hostitele
Instance je optimalizovaný virtuální počítač Azure, který se vytvoří při konfiguraci služby Azure Bastion. Azure za vás plně spravuje každou instanci. Instance se také označuje jako jednotka škálování. Připojíte se k klientským virtuálním počítačům prostřednictvím instance služby Azure Bastion. Při konfiguraci služby Azure Bastion pomocí základní skladové položky se vytvoří dvě instance. Pokud používáte skladovou položku Standard nebo vyšší, můžete zadat počet instancí. Tomu se říká škálování hostitele.
Pokud chcete nakonfigurovat škálování hostitele, přečtěte si téma Konfigurace škálování hostitele.
Vlastní porty
Můžete zadat port, který chcete použít pro připojení k virtuálním počítačům. Ve výchozím nastavení jsou příchozí porty používané pro připojení 3389 pro protokol RDP a 22 pro SSH. Pokud nakonfigurujete vlastní hodnotu portu, zadejte tuto hodnotu při připojení k virtuálnímu počítači.
Vlastní nastavení portů jsou podporována pouze pro SKU Standard nebo vyšší.
Odkaz ke sdílení
Funkce Bastion Shareable Link umožňuje uživatelům připojit se k cílovému prostředku pomocí služby Azure Bastion bez přístupu k webu Azure Portal.
Když uživatel bez přihlašovacích údajů Azure klikne na odkaz ke sdílení, otevře se webová stránka s výzvou, aby se uživatel přihlásil k cílovému prostředku přes protokol RDP nebo SSH. Uživatelé se ověřují pomocí uživatelského jména a hesla nebo privátního klíče v závislosti na tom, co jste nakonfigurovali na webu Azure Portal pro tento cílový prostředek. Uživatelé se můžou připojit ke stejným prostředkům, ke kterým se aktuálně můžete připojit pomocí služby Azure Bastion: virtuální počítače nebo škálovací sada virtuálních počítačů.
| metoda | Hodnota | Odkazy | Vyžaduje SKU standardní nebo vyšší. |
|---|---|---|---|
| Azure Portal | Odkaz ke sdílení | Konfigurace | Ano |
Nasazení jen pro privátní uživatele
Privátní nasazení Bastionu zajišťují zabezpečení úloh od začátku do konce tím, že vytvářejí nesměrovatelné nasazení přes internet Bastionu, které umožňuje přístup pouze prostřednictvím privátních IP adres. Nasazení Bastionu, která jsou pouze privátní, neumožňují připojení k hostiteli bastionu prostřednictvím veřejné IP adresy. Naproti tomu běžné nasazení služby Azure Bastion umožňuje uživatelům připojit se k hostiteli bastionu pomocí veřejné IP adresy. Další informace naleznete v tématu Nasazení Bastionu pouze jako privátní.
Nahrávání relace
Pokud je povolená funkce záznamu relace služby Azure Bastion, můžete zaznamenat grafické relace pro připojení k virtuálním počítačům (RDP a SSH) prostřednictvím hostitele bastionu. Po uzavření nebo odpojení relace jsou zaznamenané relace uloženy v blobovém kontejneru ve vašem úložišti (přes SAS URL). Když je relace odpojená, můžete získat přístup k zaznamenaným relacím a zobrazit je na webu Azure Portal na stránce Záznam relace. Záznam relace vyžaduje SKU Bastion Premium. Další informace naleznete v tématu Záznam relace Bastionu.
Zóny dostupnosti
Některé oblasti podporují možnost nasazení služby Azure Bastion do zóny dostupnosti (nebo více pro redundanci zón). Pokud chcete nasadit podle zóny, nasaďte Bastion pomocí ručně zadaných nastavení (nenasazujte pomocí automatického výchozího nastavení). Zadejte požadované zóny dostupnosti v době nasazení. Po nasazení služby Azure Bastion nemůžete změnit nastavení zóny dostupnosti.
Podpora pro Zóny dostupnosti je aktuálně ve verzi Preview. Ve verzi Preview jsou k dispozici následující oblasti:
- USA – východ
- Austrálie – východ
- USA – východ 2
- Střed USA
- Katar – střed
- Jižní Afrika – sever
- Západní Evropa
- USA – západ 2
- Severní Evropa
- Švédsko – střed
- Velká Británie – jih
- Kanada – střed
Další kroky
- Přečtěte si o nejčastějších dotazech ke službě Azure Bastion.
- Seznamte se s různými úrovněmi skladových položek služby Azure Bastion a vyberte si tu, která je pro vaše požadavky správná.
- Zjistěte, jak optimalizovat náklady na Azure Bastion při zachování zabezpečeného vzdáleného přístupu.
- Zjistěte, jak do služby Azure Bastion přidat další instance (jednotky škálování).