Partager via


À propos des paramètres de configuration de Bastion

Les sections de cet article décrivent les ressources et les paramètres pour Azure Bastion.

Références SKU

Une référence SKU est également appelée niveau. Azure Bastion prend en charge plusieurs niveaux de SKU. Lorsque vous configurez Bastion, vous sélectionnez le niveau de référence SKU. Vous décidez du niveau de référence SKU en fonction des fonctionnalités que vous souhaitez utiliser. Le tableau suivant indique la disponibilité des fonctionnalités par référence SKU correspondante.

Fonction SKU de base Référence SKU standard SKU Premium
Se connecter pour cibler les machines virtuelles dans les mêmes réseaux virtuels Oui Oui Oui
Se connecter pour cibler les machines virtuelles dans les réseaux virtuels appairés Oui Oui Oui
Prise en charge de connexions simultanées Oui Oui Oui
Accéder aux clés privées des machines virtuelles Linux dans Azure Key Vault (AKV) Oui Oui Oui
Se connecter à une machine virtuelle Linux avec SSH Oui Oui Oui
Se connecter à une machine virtuelle Windows avec RDP Oui Oui Oui
Se connecter à une machine virtuelle Linux avec RDP Non Oui Oui
Se connecter à une machine virtuelle Windows avec SSH Non Oui Oui
Spécifier le port d’entrée personnalisé Non Oui Oui
Se connecter à des machines virtuelles à l’aide de Azure CLI Non Oui Oui
Mise à l’échelle de l’hôte Non Oui Oui
Charger ou télécharger des fichiers Non Oui Oui
Authentification Kerberos Oui Oui Oui
Lien partageable Non Oui Oui
Se connecter aux machines virtuelles via une adresse IP Non Oui Oui
Sortie audio de la machine virtuelle Oui Oui Oui
Désactiver le copier/coller (clients web) Non Oui Oui
Enregistrement de session Non Non Oui
Déploiement privé uniquement Non Non Oui

Développeur Bastion

Bastion Developer est une offre gratuite et légère du service Azure Bastion. Cette offre est idéale pour les utilisateurs dev/test qui souhaitent se connecter en toute sécurité à leurs machines virtuelles, mais n’ont pas besoin de fonctionnalités Bastion supplémentaires ou de mise à l’échelle de l’hôte. Avec Bastion Developer, vous pouvez vous connecter à une machine virtuelle Azure à la fois directement via la page de connexion de la machine virtuelle.

Lorsque vous vous connectez avec Bastion Developer, les exigences de déploiement sont différentes de celles que vous déployez à l’aide d’autres références SKU. En règle générale, lorsque vous créez un hôte bastion, un hôte est déployé sur AzureBastionSubnet dans votre réseau virtuel. L’hôte Bastion est dédié à votre utilisation, alors que bastion Developer n’est pas. Étant donné que la ressource Bastion Developer n’est pas dédiée, les fonctionnalités du développeur Bastion sont limitées. Vous pouvez toujours mettre à niveau Bastion Developer vers une référence SKU spécifique si vous devez prendre en charge d’autres fonctionnalités. Voir Mettre à niveau un SKU.

Bastion Developer est actuellement disponible dans les régions suivantes :

  • Australie Centre
  • Australie Est
  • Sud-Est de l'Australie
  • Brésil Sud
  • Centre du Canada
  • Canada Est
  • Inde centrale
  • Centre des États-Unis
  • EUAP USA Centre
  • Asie de l’Est
  • USA Est 2
  • USA Est 2 (EUAP)
  • France Centrale
  • Allemagne Centre-Ouest
  • Italie Nord
  • Japon Est
  • Japon Ouest
  • Corée Centrale
  • Corée du Sud
  • Mexique Centre
  • Centre-Nord des États-Unis
  • Europe Nord
  • Norvège Est
  • Pologne Centre
  • Afrique du Sud Nord
  • Inde Sud
  • Espagne Centre
  • Asie du Sud-Est
  • Suède Centre
  • Suisse Nord
  • Émirats arabes unis Nord
  • Sud du Royaume-Uni
  • Ouest du Royaume-Uni
  • Europe Ouest
  • USA Ouest
  • Centre-USA Ouest

Remarque

Le peering de réseaux virtuels n’est actuellement pas pris en charge pour le développeur Bastion.

SKU Premium

La référence SKU Premium est une nouvelle référence SKU qui prend en charge les fonctionnalités de Bastion telles que Enregistrement de session et Bastion en privé uniquement. Quand vous déployez Bastion, nous vous recommandons de sélectionner la référence SKU Premium seulement si vous avez besoin des fonctionnalités qu’elle prend en charge.

Spécifier la référence SKU

Méthode Valeur de référence SKU Liens
Portail Azure Niveau de service : Développeur Démarrage rapide
Portail Azure Niveau - Standard Démarrage rapide
Portail Azure Niveau : Essentiel ou supérieur Tutoriel
Azure PowerShell Niveau : Essentiel ou supérieur Procédures
Azure CLI Niveau : Essentiel ou supérieur Procédures

Mettre à niveau un SKU

Vous pouvez toujours mettre à niveau une référence SKU pour ajouter d’autres fonctionnalités. Pour obtenir plus d’informations, consultez Mettre à niveau une référence SKU.

Remarque

La rétrogradation d’une référence SKU n’est pas prise en charge. Pour rétrograder, vous devez supprimer et recréer l’instance Azure Bastion.

Sous-réseau d’Azure Bastion

Important

Pour les ressources Azure Bastion déployées à partir du 2 novembre 2021, la taille du AzureBastionSubnet est /26 ou supérieure (/25, /24, etc.). Les ressources Azure Bastion déployées dans des sous-réseaux de taille /27 antérieures à cette date ne sont pas affectées par cette modification et continuent de fonctionner, mais nous vous recommandons vivement d’augmenter la taille de tout AzureBastionSubnet existant à /26 au cas où vous choisiriez de tirer parti de la mise à l’échelle de l’hôte à l’avenir.

Lorsque vous déployez Azure Bastion à l’aide d’une référence SKU à l’exception de l’offre Bastion Developer, Bastion nécessite un sous-réseau dédié nommé AzureBastionSubnet. Vous devez créer ce sous-réseau dans le réseau virtuel sur lequel vous souhaitez déployer Azure Bastion. Le sous-réseau doit avoir la configuration suivante :

  • Le nom du sous-réseau doit être AzureBastionSubnet.
  • La taille du sous-réseau doit être /26 ou supérieure (/25,/24, etc.).
  • Pour la mise à l’échelle du serveur, un sous-réseau /26 ou plus grand est recommandé. L’utilisation d’un espace de sous-réseau plus petit limite le nombre d’unités d’échelle. Pour plus d’informations, consultez la section Mise à l’échelle de l’hôte de cet article.
  • Le sous-réseau doit se trouver dans le même réseau virtuel et le même groupe de ressources que l’hôte Bastion.
  • Le sous-réseau ne peut pas contenir d’autres ressources.

Vous pouvez configurer ce paramètre à l’aide des méthodes suivantes :

Méthode Valeur Liens
Portail Azure Sous-réseau Démarrage rapide
Tutoriel
Azure PowerShell -subnetName cmdlet
Azure CLI --subnet-name command

Adresse IP publique

Les déploiements Azure Bastion, à l’exception du développeur Bastion et du privé uniquement, nécessitent une adresse IP publique. L’adresse IP publique doit avoir la configuration suivante :

  • La référence SKU d’adresse IP publique doit être Standard.
  • La méthode d’attribution/allocation d’adresse IP publique doit être statique.
  • Le nom de l’adresse IP publique est le nom de la ressource par lequel vous souhaitez faire référence à cette adresse IP publique.
  • Vous pouvez choisir d’utiliser une adresse IP publique que vous avez déjà créée, à condition qu’elle réponde aux critères requis par Azure Bastion et qu’elle ne soit pas déjà utilisée.

Vous pouvez configurer ce paramètre à l’aide des méthodes suivantes :

Méthode Valeur Liens
Portail Azure Adresse IP publique Azure portal
Azure PowerShell -PublicIpAddress cmdlet
Azure CLI --public-ip create commande

Instances et mise à l’échelle de l’hôte

Une instance est une machine virtuelle Azure optimisée qui est créée lorsque vous configurez Azure Bastion. Elle est entièrement gérée par Azure et exécute tous les processus nécessaires pour Azure Bastion. Une instance est également appelée unité d’échelle. Vous vous connectez aux machines virtuelles clientes via une instance Azure Bastion. Quand vous configurez Azure Bastion à l’aide de la référence SKU De base, deux instances sont créées. Si vous utilisez la référence SKU Standard ou supérieur, vous pouvez spécifier le nombre d’instances (avec au moins deux instances). Cela s’appelle la mise à l’échelle de l’hôte.

Chaque instance peut prendre en charge 20 connexions RDP simultanées et 40 connexions SSH simultanées pour les charges de travail moyennes (pour plus d’informations, consultez Limites et quotas de l’abonnement Azure). Le nombre de connexions par instance dépend des actions que vous prenez quand vous vous connectez à la machine virtuelle cliente. Par exemple, si vous effectuez un traitement intensif en données, cela crée une charge plus importante que l’instance doit traiter. Une fois les sessions simultanées dépassées, une unité d’échelle (instance) supplémentaire est requise.

Les instances sont créées dans AzureBastionSubnet. Pour permettre la mise à l’échelle de l’hôte, AzureBastionSubnet doit être /26 ou plus grand. L’utilisation d’un sous-réseau plus petit limite le nombre d’instances que vous pouvez créer. Pour plus d’informations sur AzureBastionSubnet, voir la section Sous-réseaux de cet article.

Vous pouvez configurer ce paramètre à l’aide des méthodes suivantes :

Méthode Valeur Liens Nécessite une référence SKU standard ou supérieur
Portail Azure Nombre d’instances Procédures Oui
Azure PowerShell ScaleUnit Procédures Oui

Ports personnalisés

Vous pouvez spécifier le port que vous souhaitez utiliser pour vous connecter à vos machines virtuelles. Par défaut, les ports entrants utilisés pour la connexion sont 3389 pour RDP et 22 pour SSH. Si vous configurez une valeur de port personnalisée, spécifiez cette valeur lorsque vous vous connectez à la machine virtuelle.

Les valeurs de port personnalisées sont prises en charge uniquement pour la référence SKU Standard ou supérieur.

La fonctionnalité lien partageable Bastion permet aux utilisateurs de se connecter à une ressource cible à l’aide d’Azure Bastion sans accéder au Portail Azure.

Lorsqu’un utilisateur sans informations d’identification Azure clique sur un lien partageable, une page web s’ouvre et invite l’utilisateur à se connecter à la ressource cible via RDP ou SSH. Les utilisateurs s’authentifient à l’aide d’un nom d’utilisateur et d’un mot de passe ou d’une clé privée, selon ce que vous avez configuré dans le portail Azure pour la ressource cible. Les utilisateurs peuvent se connecter aux mêmes ressources que celles auxquelles vous pouvez actuellement vous connecter avec Azure Bastion : machines virtuelles ou ensembles de machines virtuelles.

Méthode Valeur Liens Nécessite une référence SKU standard ou supérieur
Portail Azure Lien partageable Configurer Oui

Déploiement privé uniquement

Les déploiements Bastion en privé uniquement sécurisent entièrement les charges de travail en créant un déploiement de Bastion non accessible depuis Internet qui ne permet que l’accès aux adresses IP privées. Les déploiements Bastion en privé uniquement n’autorisent pas les connexions à l’hôte bastion via une adresse IP publique. En revanche, un déploiement Azure Bastion standard permet aux utilisateurs de se connecter à l’hôte bastion à l’aide d’une adresse IP publique. Pour plus d’informations, consultez Déployer Bastion en tant que privé uniquement.

Enregistrement de session

Lorsque la fonctionnalité d’enregistrement de session Azure Bastion est activée, vous pouvez enregistrer les sessions graphiques pour les connexions apportées aux machines virtuelles (RDP et SSH) via l’hôte bastion. Une fois la session fermée ou déconnectée, les sessions enregistrées sont stockées dans un conteneur blob au sein de votre compte de stockage (via l'URL SAS). Lorsqu'une session est déconnectée, vous pouvez accéder et afficher vos sessions enregistrées dans le portail Azure sur la page Enregistrement de session. L’enregistrement de session nécessite la référence SKU Bastion Premium. Pour plus d’informations, consultez Enregistrement de session Bastion.

Zones de disponibilité

Certaines régions prennent en charge la possibilité de déployer Azure Bastion dans une zone de disponibilité (ou plusieurs, pour la redondance de zone). Pour déployer par zone, déployez Bastion en tirant parti des paramètres spécifiés manuellement (ne déployez pas en utilisant des paramètres par défaut automatiques). Spécifiez les zones de disponibilité souhaitées au moment du déploiement. Vous ne pouvez pas modifier la disponibilité zonale après le déploiement de Bastion.

La prise en charge des zones de disponibilité est actuellement en version d'évaluation. Pendant l'aperçu, les régions suivantes sont disponibles :

  • USA Est
  • Australie Est
  • USA de l'Est 2
  • Centre des États-Unis
  • Qatar Central
  • Afrique du Sud Nord
  • Europe Ouest
  • Ouest des États-Unis 2
  • Europe Nord
  • Suède Centre
  • Sud du Royaume-Uni
  • Centre du Canada

Étapes suivantes

Pour accéder aux questions fréquentes (FAQ), consultez la FAQ Azure Bastion.