À propos des paramètres de configuration de Bastion
Les sections de cet article décrivent les ressources et les paramètres pour Azure Bastion.
Références (SKU)
Une référence SKU est également appelée niveau. Azure Bastion prend en charge deux types de SKU : De base et Standard. La référence SKU est configurée dans le portail Azure pendant le workflow lorsque vous configurez Bastion. Vous pouvez mettre à niveau un SKU De base vers un SKU Standard.
- Le SKU De base fournit une fonctionnalité de base, permettant à Azure Bastion de gérer la connectivité RDP/SSH aux machines virtuelles sans exposer les adresses IP publiques sur les machines virtuelles de l’application cible.
- La référence SKU Standard active les fonctionnalités Premium.
Le tableau suivant indique la disponibilité des fonctionnalités par référence SKU correspondante.
| Fonctionnalité | Référence SKU De base | Référence SKU standard |
|---|---|---|
| Se connecter pour cibler les machines virtuelles dans les réseaux virtuels appairés | Oui | Oui |
| Accéder aux clés privées des machines virtuelles Linux dans Azure Key Vault (AKV) | Oui | Oui |
| Se connecter à une machine virtuelle Linux avec SSH | Oui | Oui |
| Se connecter à une machine virtuelle Windows avec RDP | Oui | Oui |
| Authentification Kerberos | Oui | Oui |
| Sortie audio de la machine virtuelle | Oui | Oui |
| Lien partageable | Non | Oui |
| Se connecter aux machines virtuelles à l’aide d’un client natif | Non | Oui |
| Se connecter aux machines virtuelles via une adresse IP | Non | Oui |
| Mise à l’échelle de l’hôte | Non | Oui |
| Spécifier le port d’entrée personnalisé | Non | Oui |
| Se connecter à une machine virtuelle Linux avec RDP | Non | Oui |
| Se connecter à une machine virtuelle Windows avec SSH | Non | Oui |
| Charger ou télécharger des fichiers | Non | Oui |
| Désactiver le copier/coller (clients web) | Non | Oui |
Spécifier la référence SKU
Actuellement, vous devez utiliser le portail Azure si vous souhaitez spécifier la référence SKU Standard. Si vous utilisez Azure CLI ou Azure PowerShell pour configurer Bastion, la référence SKU ne peut pas être spécifiée et le SKU De base est défini par défaut.
| Méthode | Valeur de référence SKU | Liens |
|---|---|---|
| Portail Azure | Niveau : de base ou standard | Didacticiel |
| Portail Azure | Niveau : de base | Démarrage rapide |
| Azure PowerShell | Basic | Procédures |
| Azure CLI | Basic | Guide pratique |
Mettre à niveau un SKU
Azure Bastion prend en charge la mise à niveau d’une référence SKU De base vers Standard.
Notes
La rétrogradation d’une référence SKU Standard vers De base n’est pas prise en charge. Pour rétrograder, vous devez supprimer et recréer l’instance Azure Bastion.
Vous pouvez configurer ce paramètre à l’aide de la méthode suivante :
| Méthode | Valeur | Liens |
|---|---|---|
| Portail Azure | Niveau | Guide pratique |
Sous-réseau d’Azure Bastion
Important
Pour les ressources Azure Bastion déployées à partir du 2 novembre 2021, la taille du AzureBastionSubnet est /26 ou supérieure (/25, /24, etc.). Les ressources Azure Bastion déployées dans des sous-réseaux de taille /27 antérieures à cette date ne sont pas affectées par cette modification et continuent de fonctionner, mais nous vous recommandons vivement d’augmenter la taille de tout AzureBastionSubnet existant à /26 au cas où vous choisiriez de tirer parti de la mise à l’échelle de l’hôte à l’avenir.
Azure Bastion nécessite un sous-réseau dédié : AzureBastionSubnet. Vous devez créer ce sous-réseau dans le réseau virtuel sur lequel vous souhaitez déployer Azure Bastion. Le sous-réseau doit avoir la configuration suivante :
- Le nom du sous-réseau doit être AzureBastionSubnet.
- La taille du sous-réseau doit être /26 ou supérieure (/25,/24, etc.).
- Pour la mise à l’échelle de l’hôte, un sous-réseau /26 ou plus grand est recommandé. L’utilisation d’un espace de sous-réseau plus petit limite le nombre d’unités d’échelle. Pour plus d’informations, consultez la section Mise à l’échelle de l’hôte de cet article.
- Le sous-réseau doit se trouver dans le même réseau virtuel et le même groupe de ressources que l’hôte Bastion.
- Le sous-réseau ne peut pas contenir des ressources supplémentaires.
Vous pouvez configurer ce paramètre à l’aide des méthodes suivantes :
| Méthode | Valeur | Liens |
|---|---|---|
| Portail Azure | Subnet | Démarrage rapide Didacticiel |
| Azure PowerShell | -subnetName | cmdlet |
| Azure CLI | --subnet-name | command |
Adresse IP publique
Azure Bastion nécessite une adresse IP publique. L’adresse IP publique doit avoir la configuration suivante :
- La référence SKU d’adresse IP publique doit être Standard.
- La méthode d’attribution/allocation d’adresse IP publique doit être statique.
- Le nom de l’adresse IP publique est le nom de la ressource par lequel vous souhaitez faire référence à cette adresse IP publique.
- Vous pouvez choisir d’utiliser une adresse IP publique que vous avez déjà créée, à condition qu’elle réponde aux critères requis par Azure Bastion et qu’elle ne soit pas déjà utilisée.
Vous pouvez configurer ce paramètre à l’aide des méthodes suivantes :
| Méthode | Valeur | Liens | Nécessite une référence SKU standard |
|---|---|---|---|
| Portail Azure | Adresse IP publique | Azure portal | Oui |
| Azure PowerShell | -PublicIpAddress | cmdlet | Oui |
| Azure CLI | --public-ip create | command | Yes |
Instances et mise à l’échelle de l’hôte
Une instance est une machine virtuelle Azure optimisée qui est créée lorsque vous configurez Azure Bastion. Elle est entièrement gérée par Azure et exécute tous les processus nécessaires pour Azure Bastion. Une instance est également appelée unité d’échelle. Vous vous connectez aux machines virtuelles clientes via une instance Azure Bastion. Quand vous configurez Azure Bastion à l’aide de la référence SKU De base, deux instances sont créées. Si vous utilisez la référence SKU Standard, vous pouvez spécifier le nombre d’instances. Cela s’appelle la mise à l’échelle de l’hôte.
Chaque instance peut prendre en charge 20 connexions RDP simultanées et 40 connexions SSH simultanées pour les charges de travail moyennes (pour plus d’informations, consultez Limites et quotas de l’abonnement Azure). Le nombre de connexions par instance dépend des actions que vous prenez quand vous vous connectez à la machine virtuelle cliente. Par exemple, si vous effectuez un traitement intensif en données, cela crée une charge plus importante que l’instance doit traiter. Une fois les sessions simultanées dépassées, une unité d’échelle (instance) supplémentaire est requise.
Les instances sont créées dans AzureBastionSubnet. Pour permettre la mise à l’échelle de l’hôte, AzureBastionSubnet doit être /26 ou plus grand. L’utilisation d’un sous-réseau plus petit limite le nombre d’instances que vous pouvez créer. Pour plus d’informations sur AzureBastionSubnet, voir la section Sous-réseaux de cet article.
Vous pouvez configurer ce paramètre à l’aide des méthodes suivantes :
| Méthode | Valeur | Liens | Nécessite une référence SKU standard |
|---|---|---|---|
| Portail Azure | Nombre d’instances | Guide pratique | Oui |
| Azure PowerShell | ScaleUnit | Guide pratique | Yes |
Ports personnalisés
Vous pouvez spécifier le port que vous souhaitez utiliser pour vous connecter à vos machines virtuelles. Par défaut, les ports entrants utilisés pour la connexion sont 3389 pour RDP et 22 pour SSH. Si vous configurez une valeur de port personnalisée, spécifiez cette valeur lorsque vous vous connectez à la machine virtuelle.
Les valeurs de port personnalisées sont prises en charge uniquement pour la référence SKU Standard.
Lien partageable (préversion)
La fonctionnalité lien partageable Bastion permet aux utilisateurs de se connecter à une ressource cible à l’aide d’Azure Bastion sans accéder au Portail Azure.
Lorsqu’un utilisateur sans informations d’identification Azure clique sur un lien partageable, une page web s’ouvre et invite l’utilisateur à se connecter à la ressource cible via RDP ou SSH. Les utilisateurs s’authentifient à l’aide d’un nom d’utilisateur et d’un mot de passe ou d’une clé privée, selon ce que vous avez configuré dans le portail Azure pour la ressource cible. Les utilisateurs peuvent se connecter aux mêmes ressources que celles auxquelles vous pouvez vous connecter avec Azure Bastion : machines virtuelles ou groupe de machines virtuelles identiques.
| Méthode | Valeur | Liens | Nécessite une référence SKU standard |
|---|---|---|---|
| Portail Azure | Lien partageable | Configurer | Oui |
Étapes suivantes
Pour accéder aux questions fréquentes (FAQ), consultez la FAQ Azure Bastion.