Informationen zu Azure Bastion-Konfigurationseinstellungen
In den Abschnitten in diesem Artikel werden die Ressourcen und Einstellungen für Azure Bastion erläutert.
SKUs
Eine SKU wird auch als Tarif bezeichnet. Azure Bastion unterstützt mehrere SKU-Ebenen. Wenn Sie Bastion konfigurieren, wählen Sie die SKU-Ebene aus. Sie entscheiden die SKU-Ebene basierend auf den Features, die Sie verwenden möchten. In der folgenden Tabelle wird die Verfügbarkeit von Features in der jeweiligen SKU dargestellt.
| Feature | Entwickler-SKU | Basic-SKU | Standard-SKU |
|---|---|---|---|
| Herstellen einer Verbindung mit VMs im selben virtuellen Netzwerk | Ja | Ja | Ja |
| Herstellen einer Verbindung mit virtuellen Zielcomputern in virtuellen Netzwerken mit Peering | Nein | Ja | Ja |
| Unterstützung für gleichzeitige Verbindungen | Nein | Ja | Ja |
| Das Zugreifen auf private Schlüssel für virtuelle Linux-Computer in Azure Key Vault (AKV) | Nein | Ja | Ja |
| Herstellen einer Verbindung mit einer Linux-VM über SSH | Ja | Ja | Ja |
| Herstellen einer Verbindung mit einer Windows-VM über RDP | Ja | Ja | Ja |
| Herstellen einer Verbindung mit einer Linux-VM über RDP | Nein | Nein | Ja |
| Herstellen einer Verbindung mit einer Windows-VM über SSH | Nein | Nein | Ja |
| Angeben eines benutzerdefinierten eingehenden Ports | Nein | Nein | Ja |
| Herstellen einer Verbindung mit virtuellen Computern mithilfe der Azure CLI | Nein | Nein | Ja |
| Hostskalierung | Nein | Nein | Ja |
| Hochladen oder Herunterladen von Dateien | Nein | Nein | Ja |
| Kerberos-Authentifizierung | Nein | Ja | Ja |
| Freigabefähiger Link | Nein | Nein | Ja |
| Herstellen einer Verbindung mit VMs über IP-Adresse | Nein | Nein | Ja |
| VM-Audioausgabe | Ja | Ja | Ja |
| Deaktivieren von Kopieren/Einfügen (webbasierte Clients) | Nein | Nein | Ja |
Entwickler-SKU (Vorschau)
Die Bastion Developer-SKU ist eine neue, kostengünstige, einfache SKU. Diese SKU eignet sich ideal für Dev/Test-Benutzer, die eine sichere Verbindung mit ihren virtuellen Computern herstellen möchten und keine zusätzlichen Features oder Skalierung benötigen. Sie können gleichzeitig über die Seite „Herstellen der Verbindung mit dem virtuellen Computer“ eine Verbindung mit einem virtuellen Computer herstellen.
Die Entwickler-SKU hat unterschiedliche Anforderungen und Einschränkungen als die anderen SKU-Ebenen. Weitere Informationen und Bereitstellungsschritte finden Sie unter Bastion automatisch bereitstellen – Entwickler-SKU.
Die Entwickler-SKU (Vorschau) ist derzeit in den folgenden Regionen verfügbar:
- USA, Mitte (EUAP)
- USA, Osten 2 (EUAP)
- USA, Westen-Mitte
- USA Nord Mitte
- USA, Westen
- Nordeuropa
Hinweis
VNet-Peering wird zurzeit für die Developer-SKU nicht unterstützt.
Angeben der SKU
| Methode | SKU-Wert | Links |
|---|---|---|
| Azure-Portal | Ebene – Entwickler | Schnellstart |
| Azure-Portal | Dienstebene: Basic | Schnellstart |
| Azure-Portal | Dienstebene: Basic oder Standard | Tutorial |
| Azure PowerShell | Dienstebene: Basic oder Standard | Vorgehensweise |
| Azure CLI | Dienstebene: Basic oder Standard | Vorgehensweise |
Aktualisieren einer SKU
Sie können jederzeit ein Upgrade einer SKU durchführen, um weitere Features hinzuzufügen.
Hinweis
Das Herabstufen einer SKU wird nicht unterstützt. Zum Herabstufen müssen Sie Azure Bastion löschen und neu erstellen.
Sie können diese Einstellung konfigurieren, indem Sie die folgende Methode anwenden:
| Methode | Wert | Links |
|---|---|---|
| Azure-Portal | Tarif | Vorgehensweise |
Azure Bastion-Subnetz
Wichtig
Für Azure Bastion, die am oder nach dem 2. November 2021 bereitgestellt wurden, beträgt die Mindestgröße von AzureBastionSubnet /26 oder höher (/25, /24 usw.). Alle Azure Bastion-Ressourcen, die vor diesem Datum in Subnetzen der Größe /27 bereitgestellt wurden, sind von dieser Änderung nicht betroffen und funktionieren weiterhin. Es wird jedoch dringend empfohlen, die Größe eines vorhandenen AzureBastionSubnet auf /26 zu erhöhen, falls Sie sich für die zukünftige Nutzung der Hostskalierung entscheiden.
Wenn Sie Azure Bastion mit einer beliebigen SKU mit Ausnahme der Entwickler-SKU bereitstellen, erfordert Bastion ein dediziertes Subnetz namens AzureBastionSubnet. Sie müssen dieses Subnetz in demselben virtuellen Netzwerk erstellen, in dem Sie Azure Bastion bereitstellen möchten. Das Subnetz muss über die folgende Konfiguration verfügen:
- Subnetz: AzureBastionSubnet.
- Die Subnetzgröße muss /26 oder größer sein (/25, /24 usw.).
- Für die Hostskalierung wird ein wird ein Subnetz ab /26 empfohlen. Die Verwendung eines kleineren Subnetzbereichs schränkt die Anzahl der Skalierungseinheiten ein. Weitere Informationen finden Sie im Abschnitt Hostskalierung in diesem Artikel.
- Das Subnetz muss sich im selben virtuellen Netzwerk und in derselben Ressourcengruppe wie der Bastionhost befinden.
- Das Subnetz darf keine anderen Ressourcen enthalten.
Sie können diese Einstellung konfigurieren, indem Sie die folgende Methoden anwenden:
| Methode | Wert | Links |
|---|---|---|
| Azure-Portal | Subnet | Schnellstart Tutorial |
| Azure PowerShell | -subnetName | cmdlet |
| Azure CLI | --subnet-name | command |
Öffentliche IP-Adresse
Azure Bastion-Bereitstellungen erfordern eine öffentliche IP-Adresse mit Ausnahme von Entwickler-SKU-Bereitstellungen. Die öffentliche IP-Adresse muss über die folgende Konfiguration verfügen:
- Die SKU für öffentliche IP-Adressen muss Standard sein.
- Die Zuweisungs-/Zuordnungsmethode für öffentliche IP-Adressen muss Statisch sein.
- Der Name der öffentlichen IP-Adresse ist der Ressourcenname, mit dem Sie auf diese öffentliche IP-Adresse verweisen möchten.
- Sie können eine öffentliche IP-Adresse verwenden, die Sie bereits erstellt haben, sofern sie die für Azure Bastion erforderlichen Kriterien erfüllt und noch nicht verwendet wird.
Sie können diese Einstellung konfigurieren, indem Sie die folgende Methoden anwenden:
| Methode | Wert | Links |
|---|---|---|
| Azure-Portal | Öffentliche IP-Adresse | Azure portal |
| Azure PowerShell | -PublicIpAddress | cmdlet |
| Azure CLI | --public-ip create | Befehl |
Instanzen und Hostskalierung
Eine Instanz ist eine optimierte Azure-VM, die erstellt wird, wenn Sie Azure Bastion konfigurieren. Sie wird vollständig von Azure verwaltet und führt alle Prozesse aus, die für Azure Bastion erforderlich sind. Eine Instanz wird auch als Skalierungseinheit bezeichnet. Sie stellen über eine Azure Bastion-Instanz eine Verbindung mit Client-VMs her. Wenn Sie Azure Bastion mithilfe der Basic-SKU konfigurieren, werden zwei Instanzen erstellt. Wenn Sie die Standard-SKU verwenden, können Sie eine Anzahl von Instanzen (mindestens zwei Instanzen) angeben. Dies wird als Hostskalierung bezeichnet.
Jede Instanz kann 20 gleichzeitige RDP-Verbindungen und 40 gleichzeitige SSH-Verbindungen für mittlere Workloads unterstützen. (Weitere Informationen finden Sie unter Grenzwerte und Kontingente für Azure-Abonnements.) Die Anzahl der Verbindungen pro Instanz hängt davon ab, welche Aktionen Sie ausführen, wenn Sie eine Verbindung mit der Client-VM herstellen. Wenn Sie z. B. datenintensiv vorgehen, wird eine größere Last für die zu verarbeitende Instanz erstellt. Sobald die gleichzeitigen Sitzungen überschritten werden, ist eine weitere Skalierungseinheit (Instanz) erforderlich.
Instanzen werden im AzureBastionSubnet erstellt. Zur Unterstützung der Hostskalierung sollte azureBastionSubnet /26 oder größer sein. Die Verwendung eines kleineren Subnetzes schränkt die Anzahl der Instanzen ein, die Sie erstellen können. Weitere Informationen zu AzureBastionSubnet finden Sie im Abschnitt Subnetz in diesem Artikel.
Sie können diese Einstellung konfigurieren, indem Sie die folgende Methoden anwenden:
| Methode | Wert | Links | Standard-SKU erforderlich |
|---|---|---|---|
| Azure-Portal | Anzahl von Instanzen | Vorgehensweise | Ja |
| Azure PowerShell | ScaleUnit | Vorgehensweise | Ja |
Benutzerdefinierte Ports
Sie können den Port angeben, den Sie zum Herstellen einer Verbindung mit Ihren VMs verwenden möchten. Standardmäßig sind die für die Verbindung verwendeten eingehenden Ports 3389 für RDP und 22 für SSH. Wenn Sie einen Wert für den benutzerdefinierten Port konfigurieren, geben Sie diesen Wert an, wenn Sie eine Verbindung mit der VM herstellen.
Benutzerdefinierte Ports werden nur für die Standard-SKU unterstützt.
Freigabefähiger Link
Mit dem Bastion-Feature Freigabefähiger Link können Benutzer mithilfe von Azure Bastion eine Verbindung mit einer Zielressource herstellen, ohne auf das Azure-Portal zuzugreifen.
Wenn ein Benutzer ohne Azure-Anmeldeinformationen auf einen teilbaren Link klickt, wird eine Webseite geöffnet, auf der der Benutzer aufgefordert wird, sich über RDP oder SSH bei der Zielressource anzumelden. Benutzer authentifizieren sich mit Benutzername und Kennwort oder privatem Schlüssel, je nachdem, was Sie im Azure-Portal für die Zielressource konfiguriert haben. Benutzer können sich mit denselben Ressourcen verbinden, mit denen Sie sich derzeit mit Azure Bastion verbinden können: VMs oder VM-Skalierungsgruppe.
| Methode | Wert | Links | Standard-SKU erforderlich |
|---|---|---|---|
| Azure-Portal | Freigabefähiger Link | Konfigurieren | Ja |
Nächste Schritte
Häufig gestellte Fragen finden Sie unter Häufig gestellte Fragen zu Azure Bastion.