Freigeben über


Informationen zu Azure Bastion-Konfigurationseinstellungen

In den Abschnitten in diesem Artikel werden die Ressourcen und Einstellungen für Azure Bastion erläutert.

SKUs

Eine SKU wird auch als Ebene bezeichnet. Azure Bastion unterstützt mehrere SKU-Ebenen. Wenn Sie Bastion konfigurieren, wählen Sie die SKU-Ebene aus. Sie entscheiden die SKU-Ebene basierend auf den Features, die Sie verwenden möchten. In der folgenden Tabelle wird die Verfügbarkeit von Features in der jeweiligen SKU dargestellt.

Feature Basic-SKU Standard-SKU Premium-SKU
Herstellen einer Verbindung mit VMs im selben virtuellen Netzwerk Ja Ja Ja
Herstellen einer Verbindung mit virtuellen Zielcomputern in virtuellen Netzwerken mit Peering Ja Ja Ja
Unterstützung für gleichzeitige Verbindungen Ja Ja Ja
Das Zugreifen auf private Schlüssel für virtuelle Linux-Computer in Azure Key Vault (AKV) Ja Ja Ja
Herstellen einer Verbindung mit einer Linux-VM über SSH Ja Ja Ja
Herstellen einer Verbindung mit einer Windows-VM über RDP Ja Ja Ja
Herstellen einer Verbindung mit einer Linux-VM über RDP Nein Ja Ja
Herstellen einer Verbindung mit einer Windows-VM über SSH Nein Ja Ja
Angeben eines benutzerdefinierten eingehenden Ports Nein Ja Ja
Herstellen einer Verbindung mit virtuellen Computern mithilfe der Azure CLI Nein Ja Ja
Hostskalierung Nein Ja Ja
Hochladen oder Herunterladen von Dateien Nein Ja Ja
Kerberos-Authentifizierung Ja Ja Ja
Teilbarer Link Nein Ja Ja
Herstellen einer Verbindung mit VMs über IP-Adresse Nein Ja Ja
VM-Audioausgabe Ja Ja Ja
Deaktivieren von Kopieren/Einfügen (webbasierte Clients) Nein Ja Ja
Sitzungsaufzeichnungen Nein Nein Ja
Rein private Bereitstellung Nein Nein Ja

Bastion-Entwickler

Bastion Developer ist ein kostenloses, einfaches Angebot des Azure Bastion-Diensts. Dieses Angebot eignet sich ideal für Dev/Test-Benutzer, die eine sichere Verbindung mit ihren virtuellen Computern herstellen möchten, aber keine zusätzlichen Bastion-Features oder Hostskalierung benötigen. Mit Bastion Developer können Sie direkt über die Verbindungsseite der virtuellen Maschine mit einer Azure-VM eine Verbindung herstellen.

Wenn Sie eine Verbindung mit Bastion Developer herstellen, unterscheiden sich die Bereitstellungsanforderungen von der Bereitstellung mit anderen SKUs. In der Regel wird beim Erstellen eines Bastionhosts ein Host in AzureBastionSubnet in Ihrem virtuellen Netzwerk bereitgestellt. Der Bastion-Host ist für Ihre Nutzung vorgesehen, während es Bastion Developer nicht ist. Da die Bastion Developer-Ressource nicht dedizierte ist, sind die Features für Bastion Developer eingeschränkt. Sie können Bastion Developer immer auf eine bestimmte SKU aktualisieren, wenn Sie weitere Features unterstützen müssen. Siehe Aktualisieren einer SKU.

Bastion Developer ist derzeit in den folgenden Regionen verfügbar:

  • Australien Zentral
  • Australien (Osten)
  • Australien Südosten
  • Brasilien Süd
  • Kanada, Mitte
  • Kanada, Osten
  • Zentralindien
  • USA (Mitte)
  • USA, Mitte EUAP
  • Ostasien
  • Ost-USA 2
  • Ost-USA 2 EUAP
  • Frankreich, Mitte
  • Deutschland West Central
  • Italien Nord
  • Japan, Osten
  • Japan, Westen
  • Zentral-Korea
  • Südkorea
  • Mexiko Zentral
  • USA Nord Mitte
  • Nordeuropa
  • Norwegen, Osten
  • Polen Zentral
  • Südafrika, Norden
  • Südindien
  • Spanien, Mitte
  • Südostasien
  • Schweden, Mitte
  • Schweiz Nord
  • Vereinigte Arabische Emirate, Norden
  • UK, Süden
  • Westen des Vereinigten Königreichs
  • Europa, Westen
  • Westen der USA
  • USA, Westen-Mitte

Hinweis

VNet-Peering wird derzeit für Bastion Developer nicht unterstützt.

Premium-Artikelnummer

Die Premium-SKU ist eine neue SKU, die Bastion-Features wie Session Recording und Private-Only Bastion unterstützt. Wenn Sie Bastion bereitstellen, sollten Sie die Premium-SKU nur dann auswählen, wenn Sie die unterstützten Features benötigen.

Angeben der SKU

Methode SKU-Wert Links
Azure-Portal Ebene – Entwickler Schnellstart
Azure-Portal Ebene - Standard Schnellstart
Azure-Portal Ebene – Basic oder höher Tutorial
Azure PowerShell Ebene – Basic oder höher Vorgehensweise
Azure-Befehlszeilenschnittstelle (Azure CLI) Ebene – Basic oder höher Vorgehensweise

Aktualisieren einer SKU

Sie können jederzeit ein Upgrade einer SKU durchführen, um weitere Features hinzuzufügen. Weitere Informationen finden Sie unter Upgrade einer SKU.

Hinweis

Das Herabstufen einer SKU wird nicht unterstützt. Zum Herabstufen müssen Sie Azure Bastion löschen und neu erstellen.

Azure Bastion-Subnetz

Wichtig

Für Azure Bastion, die am oder nach dem 2. November 2021 bereitgestellt wurden, beträgt die Mindestgröße von AzureBastionSubnet /26 oder höher (/25, /24 usw.). Alle Azure Bastion-Ressourcen, die vor diesem Datum in Subnetzen der Größe /27 bereitgestellt wurden, sind von dieser Änderung nicht betroffen und funktionieren weiterhin. Es wird jedoch dringend empfohlen, die Größe eines vorhandenen AzureBastionSubnet auf /26 zu erhöhen, falls Sie sich für die zukünftige Nutzung der Hostskalierung entscheiden.

Wenn Sie Azure Bastion mit einer beliebigen SKU mit Ausnahme des Bastion Developer-Angebots bereitstellen, erfordert Bastion ein dediziertes Subnetz namens AzureBastionSubnet. Sie müssen dieses Subnetz in demselben virtuellen Netzwerk erstellen, in dem Sie Azure Bastion bereitstellen möchten. Das Subnetz muss über die folgende Konfiguration verfügen:

  • Subnetzname muss AzureBastionSubnet sein.
  • Die Subnetzgröße muss /26 oder größer sein (/25, /24 usw.).
  • Für die Hostskalierung wird ein wird ein Subnetz ab /26 empfohlen. Die Verwendung eines kleineren Subnetzbereichs schränkt die Anzahl der Skalierungseinheiten ein. Weitere Informationen finden Sie im Abschnitt Hostskalierung in diesem Artikel.
  • Das Subnetz muss sich im selben virtuellen Netzwerk und in derselben Ressourcengruppe wie der Bastionhost befinden.
  • Das Subnetz darf keine anderen Ressourcen enthalten.

Sie können diese Einstellung konfigurieren, indem Sie die folgende Methoden anwenden:

Methode Wert Links
Azure-Portal Subnetz Schnellstart
Tutorial
Azure PowerShell -subnetName cmdlet
Azure CLI --subnet-name Befehl

Öffentliche IP-Adresse

Azure Bastion-Bereitstellungen, mit Ausnahme von Bastion Developer und Private-only, erfordern eine öffentliche-IP-Adresse. Die öffentliche IP-Adresse muss über die folgende Konfiguration verfügen:

  • Die SKU für öffentliche IP-Adressen muss Standard sein.
  • Die Zuweisungs-/Zuordnungsmethode für öffentliche IP-Adressen muss Statisch sein.
  • Der Name der öffentlichen IP-Adresse ist der Ressourcenname, mit dem Sie auf diese öffentliche IP-Adresse verweisen möchten.
  • Sie können eine öffentliche IP-Adresse verwenden, die Sie bereits erstellt haben, sofern sie die für Azure Bastion erforderlichen Kriterien erfüllt und noch nicht verwendet wird.

Sie können diese Einstellung konfigurieren, indem Sie die folgende Methoden anwenden:

Methode Wert Links
Azure-Portal Öffentliche IP-Adresse Azure portal
Azure PowerShell -PublicIpAddress cmdlet
Azure CLI --public-ip create Befehl

Instanzen und Hostskalierung

Eine Instanz ist eine optimierte Azure-VM, die erstellt wird, wenn Sie Azure Bastion konfigurieren. Sie wird vollständig von Azure verwaltet und führt alle Prozesse aus, die für Azure Bastion erforderlich sind. Eine Instanz wird auch als Skalierungseinheit bezeichnet. Sie stellen über eine Azure Bastion-Instanz eine Verbindung mit Client-VMs her. Wenn Sie Azure Bastion mithilfe der Basic-SKU konfigurieren, werden zwei Instanzen erstellt. Wenn Sie die Standard-SKU oder höher verwenden, können Sie eine Anzahl von Instanzen (mindestens zwei Instanzen) angeben. Dies wird als Hostskalierung bezeichnet.

Jede Instanz kann 20 gleichzeitige RDP-Verbindungen und 40 gleichzeitige SSH-Verbindungen für mittlere Workloads unterstützen. (Weitere Informationen finden Sie unter Grenzwerte und Kontingente für Azure-Abonnements.) Die Anzahl der Verbindungen pro Instanz hängt davon ab, welche Aktionen Sie ausführen, wenn Sie eine Verbindung mit der Client-VM herstellen. Wenn Sie beispielsweise eine datenintensive Aufgabe ausführen, wird die Last für die Instanz, die diese verarbeiten muss, vergrößert. Sobald die gleichzeitigen Sitzungen überschritten werden, ist eine weitere Skalierungseinheit (Instanz) erforderlich.

Instanzen werden im AzureBastionSubnet erstellt. Zur Unterstützung der Hostskalierung sollte azureBastionSubnet /26 oder größer sein. Die Verwendung eines kleineren Subnetzes schränkt die Anzahl der Instanzen ein, die Sie erstellen können. Weitere Informationen zu AzureBastionSubnet finden Sie im Abschnitt Subnetz in diesem Artikel.

Sie können diese Einstellung konfigurieren, indem Sie die folgende Methoden anwenden:

Methode Wert Links Erfordert Standard-SKU oder höher
Azure-Portal Anzahl der Instanzen Vorgehensweise Ja
Azure PowerShell ScaleUnit Vorgehensweise Ja

Benutzerdefinierte Ports

Sie können den Port angeben, den Sie zum Herstellen einer Verbindung mit Ihren VMs verwenden möchten. Standardmäßig sind die für die Verbindung verwendeten eingehenden Ports 3389 für RDP und 22 für SSH. Wenn Sie einen Wert für den benutzerdefinierten Port konfigurieren, geben Sie diesen Wert an, wenn Sie eine Verbindung mit der VM herstellen.

Benutzerdefinierte Ports werden nur für die Standard-SKU oder höher unterstützt.

Mit dem Bastion-Feature Freigabefähiger Link können Benutzer mithilfe von Azure Bastion eine Verbindung mit einer Zielressource herstellen, ohne auf das Azure-Portal zuzugreifen.

Wenn ein Benutzer ohne Azure-Anmeldeinformationen auf einen teilbaren Link klickt, wird eine Webseite geöffnet, auf der der Benutzer aufgefordert wird, sich über RDP oder SSH bei der Zielressource anzumelden. Benutzer authentifizieren sich mit Benutzername und Kennwort oder privatem Schlüssel, je nachdem, was Sie im Azure-Portal für die Zielressource konfiguriert haben. Benutzer können sich mit denselben Ressourcen verbinden, mit denen Sie sich derzeit mit Azure Bastion verbinden können: VMs oder Skalierungsgruppen virtueller Maschinen.

Methode Wert Links Erfordert Standard-SKU oder höher
Azure-Portal Teilbarer Link Konfigurieren Ja

Rein private Bereitstellung

Rein private Bastion-Bereitstellungen implementieren eine End-to-End-Sperre von Workloads, indem eine nicht über das Internet routingfähige Bereitstellung von Bastion erstellt wird, die nur Zugriff auf private IP-Adressen zulässt. Rein private Bastion-Bereitstellungen erlauben keine Verbindungen mit dem Bastionhost über die öffentliche IP-Adresse. Im Gegensatz dazu ermöglicht eine reguläre Azure Bastion-Bereitstellung Benutzern die Verbindung mit dem Bastionhost mithilfe einer öffentlichen IP-Adresse. Weitere Informationen finden Sie unter Bereitstellen von Bastion als nur privat.

Sitzungsaufzeichnungen

Wenn das Azure Bastion Sitzungsaufzeichnung-Feature aktiviert ist, können Sie die grafischen Sitzungen für Verbindungen mit virtuellen Computern (RDP und SSH) über den Bastion-Host aufzeichnen. Nachdem die Sitzung geschlossen oder getrennt wurde, werden aufgezeichnete Sitzungen in einem Blob-Container in Ihrem Speicherkonto (über SAS-URL) gespeichert. Wenn eine Sitzung getrennt ist, können Sie im Azure-Portal auf der Seite „Sitzungsaufzeichnung“ auf Ihre aufgezeichneten Sitzungen zugreifen und diese anzeigen. Für die Sitzungsaufzeichnung ist die Bastion Premium-SKU erforderlich. Weitere Informationen finden Sie unter Bastion-Sitzungsaufzeichnung.

Verfügbarkeitszonen

Einige Regionen unterstützen die Möglichkeit, Azure Bastion in einer Verfügbarkeitszone (oder mehrere, für Zonenredundanz) bereitzustellen. Stellen Sie Bastion mithilfe manuell angegebener Einstellungen bereit (nicht mithilfe der automatischen Standardeinstellungen), um zonenweise bereitzustellen. Geben Sie die gewünschten Verfügbarkeitszonen zum Zeitpunkt der Bereitstellung an. Sie können die Verfügbarkeit von Zonen nach der Bereitstellung von Bastion nicht ändern.

Die Unterstützung für Verfügbarkeitszonen befindet sich derzeit in der Vorschauphase. Während der Vorschau sind die folgenden Regionen verfügbar:

  • Ost-USA
  • Australien (Osten)
  • Ost-US 2
  • USA (Mitte)
  • Katar, Mitte
  • Südafrika, Norden
  • Europa, Westen
  • USA, Westen 2
  • Nordeuropa
  • Schweden, Mitte
  • UK, Süden
  • Kanada, Mitte

Nächste Schritte

Häufig gestellte Fragen finden Sie unter Häufig gestellte Fragen zu Azure Bastion.