Azure Bastion – gyakori kérdések
Bastion szolgáltatás és üzembe helyezés – gyakori kérdések
Mely böngészők vannak támogatva?
A böngészőnek támogatnia kell a HTML 5-öt. Alatt azt javasoljuk, hogy a Microsoft Edge vagy a Google Chrome böngészőt használja Windowson. Apple Mac gépek esetén használja a Google Chrome böngészőt. A Microsoft Edge Chromium is támogatva van mind Windows, mind Mac rendszereken.
Hogyan működik a díjszabás?
Az Azure Bastion díjszabása a termékváltozaton és a példányokon (skálázási egységeken) alapuló óránkénti díjszabás és az adatátviteli díjak kombinációja. Az óránkénti díjszabás a Bastion üzembe helyezésének pillanatától kezdődik, a kimenő adathasználattól függetlenül. A legfrissebb díjszabási információkért tekintse meg az Azure Bastion díjszabási oldalát.
Támogatott az IPv6?
Az IPv6 jelenleg nem támogatott. Az Azure Bastion csak az IPv4-et támogatja. Ez azt jelenti, hogy csak IPv4 nyilvános IP-címet rendelhet a Bastion-erőforráshoz, és a Bastion használatával csatlakozhat az IPv4-cél virtuális gépekhez. A Bastion használatával is csatlakozhat kétveremes cél virtuális gépekhez, de csak az Azure Bastionon keresztül tud IPv4-forgalmat küldeni és fogadni.
Hol tárolja az Azure Bastion az ügyféladatokat?
Az Azure Bastion nem helyezi át vagy tárolja az ügyféladatokat a telepített régióból.
Támogatja az Azure Bastion a rendelkezésre állási zónákat?
Egyes régiók támogatják az Azure Bastion üzembe helyezését egy rendelkezésre állási zónában (vagy több, zónaredundancia esetén). A zónaszintű üzembe helyezéshez kiválaszthatja azokat a rendelkezésre állási zónákat, amelyeket a példány részletei alatt szeretne üzembe helyezni, amikor manuálisan megadott beállításokkal telepíti a Bastiont. A Bastion üzembe helyezése után nem módosíthatja a zónabeli rendelkezésre állást. Ha nem tud zónát kijelölni, lehetséges, hogy olyan Azure-régiót választott, amely még nem támogatja a rendelkezésre állási zónákat. A rendelkezésre állási zónákkal kapcsolatos további információkért lásd : Rendelkezésre állási zónák.
Támogatja az Azure Bastion a Virtual WAN-t?
Igen, használhatja az Azure Bastion for Virtual WAN-telepítéseket. Az Azure Bastion virtuális WAN-központban való üzembe helyezése azonban nem támogatott. Az Azure Bastiont küllős virtuális hálózaton helyezheti üzembe, és az IP-alapú kapcsolati funkcióval kapcsolódhat egy másik virtuális hálózaton üzembe helyezett virtuális gépekhez a Virtual WAN hubon keresztül. Ha az Azure Virtual WAN hub biztonságos virtuális központként integrálva lesz az Azure Firewalllal, az AzureBastionSubnetnek egy olyan virtuális hálózaton belül kell lennie, ahol az alapértelmezett 0.0.0.0/0 útvonalterjesztés le van tiltva a virtuális hálózati kapcsolat szintjén.
Használhatom az Azure Bastiont, ha az internetes forgalmat a helyszíni helyre kényszerítem?
Nem, ha egy alapértelmezett útvonalat (0.0.0.0/0) hirdet expressroute-on vagy VPN-en keresztül, és ezt az útvonalat a rendszer a virtuális hálózatokba injektálja, az megszakítja az Azure Bastion szolgáltatást.
Az Azure Bastionnak képesnek kell lennie kommunikálni bizonyos belső végpontokkal a célerőforrásokhoz való sikeres kapcsolódáshoz. Ezért használhatja az Azure Bastiont az Azure saját DNS-zónákkal, amíg a kiválasztott zónanév nem fedi egymást ezeknek a belső végpontoknak az elnevezésével. Az Azure Bastion-erőforrás üzembe helyezése előtt győződjön meg arról, hogy a gazdagép virtuális hálózata nincs privát DNS-zónához csatolva az alábbi pontos névvel:
- management.azure.com
- blob.core.windows.net
- core.windows.net
- vaultcore.windows.net
- vault.azure.net
- azure.com
Használhat egy privát DNS-zónát, amely az előző listában szereplő nevek egyikével végződik (például: privatelink.blob.core.windows.net).
Az Azure Bastion nem támogatott az Azure saját DNS-zónákban a nemzeti felhőkben.
A privatelink.azure.com nem tudja megoldani, hogy management.privatelink.azure.com
Ennek oka lehet, hogy a Bastion virtuális hálózathoz csatolt privatelink.azure.com privát DNS-zónája miatt management.azure.com CNAME-k feloldják a színfalak mögötti management.privatelink.azure.com. Hozzon létre egy CNAME rekordot a privatelink.azure.com zónában, hogy management.privatelink.azure.com arm-frontdoor-prod.trafficmanager.net a sikeres DNS-feloldás engedélyezéséhez.
Támogatja az Azure Bastion a Private Linket?
Nem, az Azure Bastion jelenleg nem támogatja az Azure Private Linket.
Miért jelenik meg a "Nem sikerült alhálózat hozzáadása" hibaüzenet a "Bastion üzembe helyezése" portálon való használatakor?
A legtöbb címtér esetében jelenleg egy AzureBastionSubnet nevű alhálózatot kell hozzáadnia a virtuális hálózathoz, mielőtt a Bastion üzembe helyezése lehetőséget választja.
Különleges engedélyek szükségesek a Bastion AzureBastionSubneten való üzembe helyezéséhez?
A Bastion AzureBastionSubneten való üzembe helyezéséhez írási engedélyekre van szükség. Példa: Microsoft.Network/virtualNetworks/write.
Rendelkezhetek egy /27-es vagy kisebb méretű Azure Bastion-alhálózattal (/28, /29 stb.)?
A 2021. november 2-án vagy azt követően üzembe helyezett Azure Bastion-erőforrások esetében az AzureBastionSubnet minimális mérete /26 vagy nagyobb (/25, /24 stb.). A módosítás nem érinti a /27 méretű alhálózatokon üzembe helyezett Összes Azure Bastion-erőforrást, és továbbra is működni fog. Javasoljuk azonban, hogy a meglévő AzureBastionSubnet méretét a /26-ra növelje, ha a gazdagépek skálázását a jövőben kihasználja.
Üzembe helyezhetek több Azure-erőforrást az Azure Bastion-alhálózatomban?
Szám Az Azure Bastion alhálózat (AzureBastionSubnet) csak az Azure Bastion-erőforrás üzembe helyezéséhez van fenntartva.
Támogatott a felhasználó által definiált útválasztás (UDR) egy Azure Bastion-alhálózaton?
Szám Az UDR nem támogatott egy Azure Bastion-alhálózaton.
Az olyan forgatókönyvek esetében, amelyekben az Azure Bastion és az Azure Firewall/Network Virtual Appliance (NVA) is ugyanabban a virtuális hálózatban található, nem kell az Azure Bastion alhálózatról az Azure Firewallra irányuló forgalmat kényszeríteni, mert az Azure Bastion és a virtuális gépek közötti kommunikáció privát. További információ: Virtuális gépek elérése az Azure Firewall és a Bastion mögött.
Milyen termékváltozatot érdemes használni?
Az Azure Bastion több termékváltozatot is használ. Válassza ki a termékváltozatot a kapcsolati és szolgáltatáskövetelmények alapján. Az SKU-szintek, valamint a támogatott kapcsolatok és szolgáltatások teljes listáját a Konfiguráció beállításai című cikkben találja.
Frissíthetek termékváltozatot?
Igen. A lépésekért lásd : Termékváltozat frissítése. Az SKU-kkal kapcsolatos további információkért tekintse meg a konfigurációs beállításokról szóló cikket.
Le lehet-e visszaminősíteni egy termékváltozatot?
Szám A termékváltozatok visszaminősítése nem támogatott. Az SKU-kkal kapcsolatos további információkért tekintse meg a konfigurációs beállításokról szóló cikket.
Támogatja a Bastion az Azure Virtual Desktophoz való kapcsolódást?
Nem, az Azure Virtual Desktophoz való Bastion-kapcsolat nem támogatott.
Hogyan kezelhetem az üzembehelyezési hibákat?
Tekintse át a hibaüzeneteket, és szükség szerint küldjön támogatási kérést az Azure Portalon . Az üzembe helyezési hibák az Azure-előfizetés korlátaiból, kvótáiból és korlátaiból eredhetnek. Az ügyfelek konkrétan az előfizetésenként engedélyezett nyilvános IP-címek számának korlátozásával szembesülhetnek, ami miatt az Azure Bastion üzembe helyezése meghiúsul.
Hogyan beépíteni az Azure Bastiont a Vészhelyreállítási tervembe?
Az Azure Bastion virtuális hálózatokon vagy társhálózaton belül van üzembe helyezve, és egy Azure-régióhoz van társítva. Ön a felelős az Azure Bastion vészhelyreállítási (DR) hely virtuális hálózatban való üzembe helyezéséért. Azure-régióhiba esetén végezzen feladatátvételi műveletet a virtuális gépek számára a DR régióba. Ezután használja a DR régióban üzembe helyezett Azure Bastion-gazdagépet az ott üzembe helyezett virtuális gépekhez való csatlakozáshoz.
Támogatja a Bastion egy virtuális hálózat másik erőforráscsoportba való áthelyezését?
Szám Ha a virtuális hálózatot egy másik erőforráscsoportba helyezi át (akkor is, ha ugyanabban az előfizetésben van), először törölnie kell a Bastiont a virtuális hálózatról, majd át kell helyeznie a virtuális hálózatot az új erőforráscsoportba. Miután a virtuális hálózat az új erőforráscsoportban van, üzembe helyezheti a Bastiont a virtuális hálózaton.
Támogatja a Bastion a zónaredundanciákat?
Az új Bastion-üzemelő példányok jelenleg alapértelmezés szerint nem támogatják a zónaredundanciákat. A korábban üzembe helyezett megerősített objektumok zónaredundánsak lehetnek vagy nem. Kivételt képeznek a Bastion központi telepítések Koreában Közép- és Délkelet-Ázsiában, amelyek támogatják a zónaredundanciákat.
Támogatja a Bastion a Microsoft Entra vendégfiókokat?
Igen, a Microsoft Entra vendégfiókok hozzáférést kaphatnak a Bastionhoz, és csatlakozhatnak a virtuális gépekhez. A Microsoft Entra vendégfelhasználói azonban nem tudnak csatlakozni az Azure-beli virtuális gépekhez Microsoft Entra-hitelesítéssel. A nem vendég felhasználók microsoft entra-hitelesítéssel támogatottak. Az Azure-beli virtuális gépek (nem vendégfelhasználók) Microsoft Entra-hitelesítésével kapcsolatos további információkért lásd: Bejelentkezés Windows rendszerű virtuális gépre az Azure-ban a Microsoft Entra ID használatával.
Támogatottak az egyéni tartományok a Bastion megosztható hivatkozásaival?
Nem, az egyéni tartományok nem támogatottak a Bastion megosztható hivatkozásaival. A felhasználók tanúsítványhiba lépnek fel, amikor bizonyos tartományokat próbálnak hozzáadni a Bastion gazdagéptanúsítvány CN/SAN-fájljában.
Virtuálisgép-kapcsolat és elérhető funkciók – gyakori kérdések
Szükség van szerepkörökre egy virtuális gép eléréséhez?
A kapcsolat létrehozásához a következő szerepkörök szükségesek:
- Olvasói szerepkör a virtuális gépen.
- Olvasói szerepkör a hálózati adapteren a virtuális gép privát IP-címével.
- Olvasói szerepkör az Azure Bastion-erőforráson.
- Olvasói szerepkör a cél virtuális gép virtuális hálózatán (ha a Bastion üzembe helyezése társhálózatban van).
Emellett a felhasználónak rendelkeznie kell a virtuális géphez való csatlakozáshoz szükséges jogosultságokkal (ha szükséges). Ha például a felhasználó RDP-vel csatlakozik egy Windows rendszerű virtuális géphez, és nem tagja a helyi Rendszergazda istratorok csoportnak, akkor a Távoli asztali felhasználók csoport tagjának kell lennie.
Miért jelenik meg a "Munkamenet lejárt" hibaüzenet a Bastion-munkamenet megkezdése előtt?
Ha közvetlenül egy másik böngésző munkamenetből vagy lapról lép az URL-címre, ez a hiba várható. Segít biztosítani, hogy a munkamenet biztonságosabb legyen, és hogy a munkamenet csak az Azure Portalon keresztül érhető el. Jelentkezzen be az Azure Portalra, és kezdje újra a munkamenetet.
Szükségem van nyilvános IP-címre a virtuális gépemen az Azure Bastionon keresztüli csatlakozáshoz?
Szám Amikor az Azure Bastion használatával csatlakozik egy virtuális géphez, nincs szüksége nyilvános IP-címre azon az Azure-beli virtuális gépen, amelyhez csatlakozik. A Bastion szolgáltatás megnyitja az RDP-/SSH-munkamenetet/-kapcsolatot a virtuális gép privát IP-címén a virtuális hálózaton belül.
Szükség van RDP- vagy SSH-ügyfélre?
Szám A virtuális gépet az Azure Portalon érheti el a böngészőben. Az elérhető kapcsolatokról és módszerekről a virtuálisgép-kapcsolatokról és -szolgáltatásokról szóló cikkben olvashat.
A felhasználóknak speciális jogosultságokra van szükségük egy cél virtuális gépen AZ RDP-kapcsolatokhoz?
Amikor egy felhasználó RDP-n keresztül csatlakozik egy Windows rendszerű virtuális géphez, jogosultságokkal kell rendelkeznie a cél virtuális gépen. Ha a felhasználó nem helyi rendszergazda, vegye fel a felhasználót a cél virtuális gép Távoli asztali felhasználók csoportjába.
Csatlakozhatok a virtuális gépemhez natív ügyfél használatával?
Igen. A helyi számítógépről natív ügyfél használatával csatlakozhat egy virtuális géphez. Lásd: Csatlakozás egy natív ügyféllel rendelkező virtuális gépre.
Telepítenem kell ügynökök az Azure-beli virtuális gépen?
Szám Nem kell ügynököt vagy szoftvert telepítenie a böngészőbe vagy az Azure-beli virtuális gépére. A Bastion szolgáltatás ügynök nélküli, és nem igényel további szoftvereket az RDP/SSH-hoz.
Milyen funkciók támogatottak a virtuálisgép-munkamenetekhez?
Lásd: A támogatott funkciók virtuálisgép-kapcsolatairól és szolgáltatásairól .
Elérhető a jelszó alaphelyzetbe állítása a megosztható hivatkozáson keresztül csatlakozó helyi felhasználók számára?
Szám Egyes szervezetek olyan vállalati szabályzatokkal rendelkeznek, amelyek jelszó-visszaállítást igényelnek, amikor egy felhasználó először jelentkezik be egy helyi fiókba. Megosztható hivatkozások használata esetén a felhasználó nem tudja módosítani a jelszót, még akkor sem, ha megjelenik a "Jelszó alaphelyzetbe állítása" gomb.
Elérhető a távoli hang a virtuális gépekhez?
Igen. Lásd: A virtuálisgép-kapcsolatok és -szolgáltatások.
Támogatja az Azure Bastion a fájlátvitelt?
Az Azure Bastion támogatja a cél virtuális gép és a helyi számítógép közötti fájlátvitelt a Bastion és egy natív RDP- vagy SSH-ügyfél használatával. Jelenleg nem tölthet fel vagy tölthet le fájlokat a PowerShell vagy az Azure Portal használatával. További információ: Fájlok feltöltése és letöltése a natív ügyfél használatával.
Működik a Bastion-keményítés az AADJ virtuális gép bővítményhez csatlakoztatott virtuális gépeivel?
Ez a funkció nem működik a Microsoft Entra-felhasználókat használó AADJ virtuálisgép-bővítményhez csatlakoztatott gépeken. További információ: Bejelentkezés Windows rendszerű virtuális gépre az Azure-ban a Microsoft Entra ID használatával.
A Bastion kompatibilis az RDS-munkamenetgazdaként beállított virtuális gépekkel?
A Bastion nem támogatja az RDS-munkamenetgazdaként beállított virtuális géphez való csatlakozást.
Mely billentyűzetkiosztások támogatottak a Bastion távoli munkamenete során?
Az Azure Bastion jelenleg a következő billentyűzetkiosztásokat támogatja a virtuális gépen belül:
- en-us-qwerty
- en-gb-qwerty
- de-ch-qwertz
- de-de-qwertz
- fr-be-azerty
- fr-fr-azerty
- fr-ch-qwertz
- hu-hu-qwertz
- it-it-qwerty
- ja-jp-qwerty
- pt-br-qwerty
- es-es-qwerty
- es-latam-qwerty
- sv-se-qwerty
- tr-tr-qwerty
A célnyelv megfelelő kulcsleképezéseinek létrehozásához a helyi számítógépen a billentyűzetkiosztást a célnyelvre, a cél virtuális gépen belüli billentyűzetkiosztást pedig a célnyelvre kell beállítania. Mindkét billentyűzetet a célnyelvre kell állítani a megfelelő kulcsleképezések létrehozásához a cél virtuális gépen belül.
Ha windowsos munkaállomáson billentyűzetkiosztásként szeretné beállítani a célnyelvet, lépjen Gépház > Time & Language Language &Region (Idő és nyelv>) területre. Az Előnyben részesített nyelvek csoportban válassza a "Nyelv hozzáadása" lehetőséget, és adja hozzá a célnyelvet. Ezután láthatja a billentyűzetkiosztásokat az eszköztáron. Az angol (Egyesült Államok) billentyűzetkiosztásként való beállításához válassza az "ENG" lehetőséget az eszköztáron, vagy kattintson a Windows + Szóköz billentyűkombinációra a billentyűzetkiosztások megnyitásához.
Van billentyűzetes megoldás a virtuális gép és a böngésző közötti fókusz váltására?
A felhasználók a "Ctrl+Shift+Alt" billentyűkombinációval hatékonyan válthatnak a fókuszra a virtuális gép és a böngésző között.
Hogyan visszavenni a billentyűzet- vagy egérfókuszt egy példányból?
Kattintson egymás után kétszer a Windows billentyűre a Bastion ablak fókuszának visszaállításához.
Mi a Bastionon keresztül támogatott maximális képernyőfelbontás?
Jelenleg az 1920x1080 (1080p) a maximális támogatott felbontás.
Támogatja az Azure Bastion az időzónák konfigurálását vagy az időzónák átirányítását a cél virtuális gépekhez?
Az Azure Bastion jelenleg nem támogatja az időzónák átirányítását, és nem konfigurálható az időzónában. A virtuális gép időzón-beállításai manuálisan frissíthetők, miután sikeresen csatlakozott a vendég operációs rendszerhez.
Megszakad egy meglévő munkamenet a Bastion-gazdagép karbantartása során?
Igen, a cél Bastion-erőforrás meglévő munkamenetei megszakadnak a Bastion-erőforrás karbantartása során.
JIT-szabályzattal csatlakozom egy virtuális géphez, szükségem van további engedélyekre?
Ha a felhasználó JIT-szabályzattal csatlakozik egy virtuális géphez, nincs szükség további engedélyekre. A virtuális géphez JIT-szabályzattal való csatlakozással kapcsolatos további információkért lásd : Igény szerinti hozzáférés engedélyezése virtuális gépeken.
Virtuális hálózatok közötti társviszonnyal kapcsolatos gyakori kérdések
Továbbra is üzembe helyezhetek több Bastion-gazdagépet a társhálózatokon?
Igen. Alapértelmezés szerint a felhasználó a Bastion gazdagépet látja, amely ugyanabban a virtuális hálózaton van üzembe helyezve, amelyben a virtuális gép található. A Csatlakozás menüben azonban a felhasználók több Bastion-gazdagépet is láthatnak a társhálózatok között. Kiválaszthatják azt a Bastion-gazdagépet, amelyet a virtuális hálózaton üzembe helyezett virtuális géphez való csatlakozáshoz szeretnének használni.
Ha a társhálózatok különböző előfizetésekben vannak üzembe helyezve, működni fog a Bastionon keresztüli kapcsolat?
Igen, a Bastionon keresztüli kapcsolat továbbra is működni fog a társviszonyban lévő virtuális hálózatokon egyetlen bérlő különböző előfizetésén keresztül. Két különböző bérlő előfizetései nem támogatottak. Ha látni szeretné a Bastiont a Csatlakozás legördülő menüben, a felhasználónak ki kell választania azokat az alrészeket, amelyekhez hozzáféréssel rendelkezik az előfizetés > globális előfizetésében.
Hozzáférésem van a társhálózathoz, de nem látom az ott üzembe helyezett virtuális gépet.
Győződjön meg arról, hogy a felhasználó olvasási hozzáféréssel rendelkezik a virtuális géphez és a társhálózathoz is. Emellett ellenőrizze az IAM alatt, hogy a felhasználó olvasási hozzáféréssel rendelkezik-e a következő erőforrásokhoz:
- Olvasói szerepkör a virtuális gépen.
- Olvasói szerepkör a hálózati adapteren a virtuális gép privát IP-címével.
- Olvasói szerepkör az Azure Bastion-erőforráson.
- Olvasói szerepkör a virtuális hálózaton (nem szükséges, ha nincs társhálózat).
| Engedélyek | Leírás | Engedély típusa |
|---|---|---|
| Microsoft.Network/bastionHosts/read | Bastion-gazdagép lekérdezése | Művelet |
| Microsoft.Network/virtualNetworks/BastionHosts/action | Bastion-gazdagép-hivatkozásokat szerez be egy virtuális hálózaton. | Művelet |
| Microsoft.Network/virtualNetworks/bastionHosts/default/action | Bastion-gazdagép-hivatkozásokat szerez be egy virtuális hálózaton. | Művelet |
| Microsoft.Network/networkInterfaces/read | Lekéri a hálózati adapter definícióját. | Művelet |
| Microsoft.Network/networkInterfaces/ipconfigurations/read | Lekéri a hálózati adapter IP-konfigurációjának definícióját. | Művelet |
| Microsoft.Network/virtualNetworks/read | A virtuális hálózat definíciójának lekérése | Művelet |
| Microsoft.Network/virtualNetworks/alhálózatok/virtualMachines/read | Hivatkozásokat kap egy virtuális hálózati alhálózat összes virtuális gépére | Művelet |
| Microsoft.Network/virtualNetworks/virtualMachines/read | Hivatkozásokat kap egy virtuális hálózat összes virtuális gépére | Művelet |
Következő lépések
További információ: What is Azure Bastion.