Informace o nastavení konfigurace Bastionu
Oddíly v tomto článku diskutují o prostředcích a nastaveních služby Azure Bastion.
Skladové položky
Skladová položka se označuje také jako úroveň. Azure Bastion podporuje více úrovní SKU. Při konfiguraci Bastionu vyberete úroveň skladové položky. Úroveň skladové položky se rozhodnete na základě funkcí, které chcete použít. Následující tabulka uvádí dostupnost funkcí na odpovídající skladovou položku.
| Funkce | Skladová položka pro vývojáře | Základní SKU | Standardní SKU |
|---|---|---|---|
| Připojení k cílovým virtuálním počítačům ve stejné virtuální síti | Ano | Ano | Yes |
| Připojení pro cílové virtuální počítače v partnerských virtuálních sítích | No | Ano | Ano |
| Podpora souběžných připojení | No | Ano | Yes |
| Přístup k privátním klíčům virtuálního počítače s Linuxem ve službě Azure Key Vault (AKV) | No | Ano | Yes |
| Připojení k virtuálnímu počítači s Linuxem pomocí SSH | Ano | Ano | Ano |
| Připojení k virtuálnímu počítači s Windows pomocí protokolu RDP | Ano | Ano | Ano |
| Připojení k virtuálnímu počítači s Linuxem pomocí protokolu RDP | No | No | Ano |
| Připojení k virtuálnímu počítači s Windows pomocí SSH | No | No | Ano |
| Určení vlastního příchozího portu | No | No | Ano |
| Připojení k virtuálním počítačům pomocí Azure CLI | No | No | Ano |
| Škálování hostitele | No | No | Ano |
| Nahrání nebo stažení souborů | No | No | Ano |
| Ověřování protokolem Kerberos | No | Ano | Ano |
| Odkaz ke sdílení | No | No | Ano |
| Připojení k virtuálním počítačům přes IP adresu | No | No | Ano |
| Výstup zvuku virtuálního počítače | Ano | Ano | Yes |
| Zakázání kopírování a vkládání (webových klientů) | No | No | Ano |
Skladová položka pro vývojáře (Preview)
Skladová položka Bastion Developer je nová, nižší a jednoduchá skladová položka. Tato skladová položka je ideální pro uživatele pro vývoj/testování, kteří se chtějí bezpečně připojit ke svým virtuálním počítačům a nepotřebují další funkce ani škálování. K jednomu virtuálnímu počítači Azure se můžete připojit přímo přes stránku pro připojení virtuálního počítače.
Skladová položka pro vývojáře má jiné požadavky a omezení než ostatní úrovně skladových položek. Další informace a postup nasazení najdete v tématu Nasazení Bastionu automaticky – skladová položka pro vývojáře.
Skladová položka pro vývojáře (Preview) je aktuálně dostupná v následujících oblastech:
- USA – střed (EUAP)
- USA – východ 2 (EUAP)
- Středozápad USA
- Severní střed USA
- USA – západ
- Severní Evropa
Poznámka:
V současné době se partnerský vztah virtuálních sítí pro skladovou položku pro vývojáře nepodporuje.
Určení skladové položky
| metoda | Hodnota skladové položky | Odkazy |
|---|---|---|
| portál Azure | Úroveň – vývojář | Rychlý start |
| portál Azure | Úroveň – Basic | Rychlý start |
| portál Azure | Úroveň – Basic nebo Standard | Kurz |
| Azure PowerShell | Úroveň – Basic nebo Standard | Postupy |
| Azure CLI | Úroveň – Basic nebo Standard | Postupy |
Upgrade skladové položky
Skladovou položku můžete kdykoli upgradovat a přidat další funkce. Další informace najdete v tématu Upgrade skladové položky.
Poznámka:
Downgradování skladové položky se nepodporuje. Pokud chcete downgradovat, musíte službu Azure Bastion odstranit a znovu vytvořit.
Podsíť Služby Azure Bastion
Důležité
Pro prostředky Služby Azure Bastion nasazené 2. listopadu 2021 nebo novější je minimální velikost podsítě AzureBastionSubnet /26 nebo větší (/25, /24 atd.). Na všechny prostředky služby Azure Bastion nasazené v podsítích velikosti /27 před tímto datem tato změna nemá vliv, ale důrazně doporučujeme zvětšit velikost existující podsítě AzureBastionSubnet na /26, pokud se rozhodnete využít škálování hostitele v budoucnu.
Když nasadíte Azure Bastion pomocí jakékoli skladové položky s výjimkou skladové položky pro vývojáře, bastion vyžaduje vyhrazenou podsíť s názvem AzureBastionSubnet. Tuto podsíť musíte vytvořit ve stejné virtuální síti, do které chcete nasadit Azure Bastion. Podsíť musí mít následující konfiguraci:
- Název podsítě musí být AzureBastionSubnet.
- Velikost podsítě musí být /26 nebo větší (/25, /24 atd.).
- Pro škálování hostitele se doporučuje podsíť /26 nebo větší. Použití menšího prostoru podsítě omezuje počet jednotek škálování. Další informace najdete v části Škálování hostitele tohoto článku.
- Podsíť musí být ve stejné virtuální síti a skupině prostředků jako hostitel bastionu.
- Podsíť nemůže obsahovat další prostředky.
Toto nastavení můžete nakonfigurovat pomocí následujících metod:
| metoda | Hodnota | Odkazy |
|---|---|---|
| portál Azure | Podsíť | Rychlý start Kurz |
| Azure PowerShell | -subnetName | Rutina |
| Azure CLI | --subnet-name | Příkaz |
Veřejná IP adresa
Nasazení služby Azure Bastion vyžadují veřejnou IP adresu s výjimkou nasazení skladové položky pro vývojáře. Veřejná IP adresa musí mít následující konfiguraci:
- Skladová položka veřejné IP adresy musí být Standardní.
- Metoda přiřazení nebo přidělení veřejné IP adresy musí být statická.
- Název veřejné IP adresy je název prostředku, kterým chcete odkazovat na tuto veřejnou IP adresu.
- Můžete použít veřejnou IP adresu, kterou jste už vytvořili, pokud splňuje kritéria požadovaná službou Azure Bastion a ještě se nepoužívá.
Toto nastavení můžete nakonfigurovat pomocí následujících metod:
| metoda | Hodnota | Odkazy |
|---|---|---|
| portál Azure | Veřejná IP adresa | Azure Portal |
| Azure PowerShell | -PublicIpAddress | Rutina |
| Azure CLI | --public-ip create | Příkaz |
Instance a škálování hostitele
Instance je optimalizovaný virtuální počítač Azure, který se vytvoří při konfiguraci služby Azure Bastion. Plně spravuje Azure a spouští všechny procesy potřebné pro Azure Bastion. Instance se také označuje jako jednotka škálování. Připojíte se k klientským virtuálním počítačům prostřednictvím instance služby Azure Bastion. Při konfiguraci služby Azure Bastion pomocí základní skladové položky se vytvoří dvě instance. Pokud používáte skladovou položku Standard, můžete zadat počet instancí (s minimálně dvěma instancemi). Tomu se říká škálování hostitele.
Každá instance může podporovat 20 souběžných připojení RDP a 40 souběžných připojení SSH pro střední úlohy (další informace najdete v omezeních a kvótách předplatného Azure). Počet připojení na instance závisí na tom, jaké akce provádíte při připojení k klientskému virtuálnímu počítači. Pokud například děláte něco náročného na data, vytvoří se větší zatížení, aby instance zpracovávala. Po překročení souběžných relací se vyžaduje další jednotka škálování (instance).
Instance se vytvářejí v podsítě AzureBastionSubnet. Aby bylo možné škálování hostitele, měla by být podsíť AzureBastionSubnet /26 nebo větší. Použití menší podsítě omezuje počet instancí, které můžete vytvořit. Další informace o podsíti AzureBastionSubnet najdete v části podsítě v tomto článku.
Toto nastavení můžete nakonfigurovat pomocí následujících metod:
| metoda | Hodnota | Odkazy | Vyžaduje skladovou položku Standard. |
|---|---|---|---|
| portál Azure | Počet instancí | Postupy | Ano |
| Azure PowerShell | ScaleUnit | Postupy | Ano |
Vlastní porty
Můžete zadat port, který chcete použít pro připojení k virtuálním počítačům. Ve výchozím nastavení jsou příchozí porty používané pro připojení 3389 pro protokol RDP a 22 pro SSH. Pokud nakonfigurujete vlastní hodnotu portu, zadejte tuto hodnotu při připojení k virtuálnímu počítači.
Vlastní hodnoty portů jsou podporovány pouze pro skladovou položku Standard.
Odkaz ke sdílení
Funkce Bastion Shareable Link umožňuje uživatelům připojit se k cílovému prostředku pomocí služby Azure Bastion bez přístupu k webu Azure Portal.
Když uživatel bez přihlašovacích údajů Azure klikne na odkaz ke sdílení, otevře se webová stránka s výzvou, aby se uživatel přihlásil k cílovému prostředku přes protokol RDP nebo SSH. Uživatelé se ověřují pomocí uživatelského jména a hesla nebo privátního klíče v závislosti na tom, co jste na webu Azure Portal nakonfigurovali pro tento cílový prostředek. Uživatelé se můžou připojit ke stejným prostředkům, ke kterým se aktuálně můžete připojit pomocí služby Azure Bastion: virtuální počítače nebo škálovací sada virtuálních počítačů.
| metoda | Hodnota | Odkazy | Vyžaduje skladovou položku Standard. |
|---|---|---|---|
| portál Azure | Odkaz ke sdílení | Konfigurace | Ano |
Zóny dostupnosti
Některé oblasti podporují možnost nasazení služby Azure Bastion do zóny dostupnosti (nebo více pro redundanci zón). Pokud chcete nasadit zónově, nasaďte Bastion pomocí ručně zadaných nastavení (nenasazujte pomocí automatického výchozího nastavení). Zadejte požadované zóny dostupnosti v době nasazení. Po nasazení Bastionu nemůžete změnit zónovou dostupnost.
Podpora pro Zóny dostupnosti je aktuálně ve verzi Preview. Ve verzi Preview jsou k dispozici následující oblasti:
- USA – východ
- Austrálie – východ
- USA – východ 2
- USA – střed
- Střední Katar
- Jižní Afrika – sever
- Západní Evropa
- Západní USA 2
- Severní Evropa
- Švédsko – střed
- Velká Británie – jih
- Střední Kanada
Další kroky
Nejčastější dotazy najdete v nejčastějších dotazech ke službě Azure Bastion.