Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A cikk szakaszai az Azure Bastion erőforrásait és beállításait ismertetik.
Termékváltozatok
A SKU-t készlet kódként, illetve szintként is ismerik. Az Azure Bastion több termékváltozatszintet is támogat. A Bastion konfigurálásakor válassza ki az SKU-szintet. A használni kívánt funkciók alapján dönti el az SKU-szintet. Az alábbi táblázat a szolgáltatások megfelelő termékváltozatonkénti rendelkezésre állását mutatja be.
| Funkció | Alapszintű termékváltozat | Standard termékváltozat | Prémium termékváltozat |
|---|---|---|---|
| Csatlakozás a cél virtuális gépekhez ugyanabban a virtuális hálózaton | Igen | Igen | Igen |
| Csatlakozás a társviszonyban lévő virtuális hálózatok cél virtuális gépeihez | Igen | Igen | Igen |
| Egyidejű kapcsolatok támogatása | Igen | Igen | Igen |
| Linux rendszerű virtuálisgép-titkos kulcsok elérése az Azure Key Vaultban (AKV) | Igen | Igen | Igen |
| Csatlakozás Linux rendszerű virtuális géphez SSH használatával | Igen | Igen | Igen |
| Csatlakozás Windows rendszerű virtuális géphez RDP használatával | Igen | Igen | Igen |
| Csatlakozás Linux rendszerű virtuális géphez RDP használatával | Nem | Igen | Igen |
| Csatlakozás Windows rendszerű virtuális géphez SSH használatával | Nem | Igen | Igen |
| Egyéni bejövő port megadása | Nem | Igen | Igen |
| Csatlakozás virtuális gépekhez az Azure CLI használatával | Nem | Igen | Igen |
| Gazdagép skálázása | Nem | Igen | Igen |
| Fájlok feltöltése vagy letöltése | Nem | Igen | Igen |
| Kerberos-hitelesítés | Igen | Igen | Igen |
| Megosztható hivatkozás | Nem | Igen | Igen |
| Csatlakozás virtuális gépekhez IP-címmel | Nem | Igen | Igen |
| Virtuális gép hangkimenete | Igen | Igen | Igen |
| Másolás/beillesztés letiltása (webalapú ügyfelek) | Nem | Igen | Igen |
| Munkamenet-rögzítés | Nem | Nem | Igen |
| Csak privát üzembe helyezés | Nem | Nem | Igen |
Bastion Fejlesztő
A Bastion Developer az Azure Bastion szolgáltatás ingyenes, egyszerűsített ajánlata. Ez az ajánlat ideális azoknak a fejlesztői/tesztelési felhasználóknak, akik biztonságosan szeretnének csatlakozni a virtuális gépeikhez, de nincs szükségük további Bastion-funkciókra vagy gazdagépméretezésre. A Bastion Developer segítségével egyszerre egy Azure-beli virtuális géphez csatlakozhat közvetlenül a virtuális gép csatlakoztatási oldalán keresztül.
Amikor a Bastion Developer szolgáltatással csatlakozik, az üzembe helyezési követelmények eltérnek attól, hogy más termékváltozatok használatával telepít. A bastion hostok létrehozásakor általában egy gazdagépet telepítenek a virtuális hálózaton található AzureBastionSubnet alhálózatba. A Bastion-gazdagép az Ön használatára van dedikálva, míg a Bastion Fejlesztő nem. Mivel a Bastion Developer erőforrás nem dedikált, a Bastion Developer funkciói korlátozottak. Ha további funkciókat szeretne támogatni, mindig frissítheti a Bastion Developert egy adott termékváltozatra. Lásd: SKU frissítése.
A Bastion Developer jelenleg a következő régiókban érhető el:
- Ausztrália középső régiója
- Ausztrália keleti régiója
- Délkelet-Ausztrália
- Dél-Brazília
- Közép-Kanada
- Kelet-Kanada
- Közép-India
- USA középső régiója
- USA középső régiója – EUAP
- Kelet-Ázsia
- USA 2. keleti régiója
- USA 2. keleti régiója – EUAP
- Közép-Franciaország
- Középnyugat-Németország
- Észak-Olaszország
- Kelet-Japán
- Nyugat-Japán
- Korea középső régiója
- Korea déli régiója
- Közép-Mexikó
- USA északi középső régiója
- Észak-Európa
- Kelet-Norvégia
- Dél-Afrika északi régiója
- Dél-India
- Közép-Spanyolország
- Közép-Svédország
- Észak-Svájc
- Délkelet-Ázsia
- Egyesült Arab Emírségek északi régiója
- Egyesült Királyság déli régiója
- Egyesült Királyság nyugati régiója
- USA nyugati középső régiója
- Nyugat-Európa
- USA nyugati régiója
Feljegyzés
A Bastion Developer esetében a VNet peering jelenleg nem támogatott.
Prémium termékváltozat
A Prémium termékváltozat egy új termékváltozat, amely támogatja a Bastion olyan funkcióit, mint a Session Recording és a Private-Only Bastion. A Bastion telepítésekor azt javasoljuk, hogy csak akkor válassza ki a Prémium termékváltozatot, ha szüksége van az általa támogatott funkciókra.
Termékváltozat megadása
| Metódus | Termékváltozat értéke | Hivatkozások |
|---|---|---|
| Azure Portal | Réteg – Fejlesztő | Gyors útmutató |
| Azure Portal | Szint – Normál | Gyors útmutató |
| Azure Portal | Szint – Alapszintű vagy magasabb | Oktatóanyag |
| Azure PowerShell | Szint – Alapszintű vagy magasabb | Útmutató |
| Azure CLI | Szint – Alapszintű vagy magasabb | Útmutató |
Termékváltozat frissítése
Az SKU-t mindig frissítheti további funkciók hozzáadásához. További információért lásd: SKU frissítése.
Feljegyzés
A termékváltozat leminősítése nem támogatott. A visszalépéshez törölnie kell és újra létre kell hoznia az Azure Bastiont.
Azure Bastion alhálózat
Fontos
A 2021. november 2-án vagy azt követően üzembe helyezett Azure Bastion-erőforrások esetében az AzureBastionSubnet minimális mérete /26 vagy nagyobb (/25, /24 stb.). A fenti dátum előtti /27 méretű alhálózatokon üzembe helyezett minden Azure Bastion-erőforrást ez a változás nem érinti, és továbbra is működni fog, de javasoljuk, hogy a meglévő AzureBastionSubnet méretét /26-ra növelje, ha a jövőben ki szeretné használni a gazdagépek skálázását.
Ha az Azure Bastiont a Bastion Fejlesztői ajánlat kivételével bármilyen termékváltozat használatával telepíti, a Bastionnak egy dedikált alhálózatra van szüksége, amelynek neve AzureBastionSubnet. Ezt az alhálózatot ugyanabban a virtuális hálózaton kell létrehoznia, amelyben üzembe szeretné helyezni az Azure Bastiont. Az alhálózatnak a következő konfigurációval kell rendelkeznie:
- Az alhálózat nevének AzureBastionSubnetnek kell lennie.
- Az alhálózat méretének /26 vagy nagyobbnak kell lennie (/25, /24 stb.).
- Gazdagépméretezéshez /26 vagy nagyobb alhálózat használata ajánlott. Kisebb alhálózati terület használata korlátozza a méretezési egységek számát. További információt a jelen cikk Gazdagép skálázás című szakaszában talál.
- Az alhálózatnak ugyanabban a virtuális hálózatban és erőforráscsoportban kell lennie, mint a bástya gazdagép.
- Az alhálózat nem tartalmazhat más erőforrásokat.
Ezt a beállítást a következő módszerekkel konfigurálhatja:
| Metódus | Érték | Hivatkozások |
|---|---|---|
| Azure Portal | Alhálózat |
Gyors útmutató Oktatóanyag |
| Azure PowerShell | -subnetName | cmdlet |
| Azure CLI | --alhálózat neve | parancs |
Nyilvános IP-cím
Az Azure Bastion üzemelő példányai nyilvános IP-címet igényelnek, kivéve a Bastion Developer és a csak privát használatra készült. A nyilvános IP-címnek a következő konfigurációval kell rendelkeznie:
- A nyilvános IP-cím termékváltozatának standardnak kell lennie.
- A nyilvános IP-cím hozzárendelési/foglalási metódusnak statikusnak kell lennie.
- A nyilvános IP-cím az az erőforrásnév, amellyel hivatkozni szeretne erre a nyilvános IP-címre.
- Dönthet úgy, hogy a már létrehozott nyilvános IP-címet használja, ha az megfelel az Azure Bastion által megkövetelt feltételeknek, és még nincs használatban.
Ezt a beállítást a következő módszerekkel konfigurálhatja:
| Metódus | Érték | Hivatkozások |
|---|---|---|
| Azure Portal | Nyilvános IP-cím | Azure Portál |
| Azure PowerShell | -NyilvánosIP-cím | cmdlet |
| Azure CLI | --public-ip létrehoz | parancs |
Nyilvános IP-címek konfigurálása konfigurált rendelkezésre állási zónákkal
A nyilvános IP-címek zonal Bastion-környezetekhez való létrehozásához/használatához tekintse meg az alábbi táblázatot:
| Scenario | Bastion rendelkezésre állási zónák | Nyilvános IP-cím rendelkezésre állási zónái |
|---|---|---|
| Új nyilvános IP-cím létrehozása | 1, 2, 3 | 1, 2, 3 |
| 1 | 1, 2, 3 | |
| Meglévő nyilvános IP-cím használata | 1, 2, 3 | 1, 2, 3 |
| 1 | 1, 2, 3 | |
| 0 | minden nyilvános IP-cím, zonális vagy sem |
Példányok és gazdagépek skálázása
A példány egy optimalizált Azure-beli virtuális gép, amely az Azure Bastion konfigurálásakor jön létre. Az Azure teljes mértékben felügyeli, és az Azure Bastionhoz szükséges összes folyamatot futtatja. Egy példányt skálázási egységnek is neveznek. Egy Azure Bastion-példányon keresztül csatlakozhat ügyfél virtuális gépekhez. Ha az Azure Bastiont az alapszintű termékváltozat használatával konfigurálja, két példány jön létre. Ha a Standard termékváltozatot vagy magasabbat használja, megadhatja a példányok számát (legalább két példánysal). Ezt gazdaméretezésnek nevezzük.
Minden példány 20 egyidejű RDP-kapcsolatot és 40 egyidejű SSH-kapcsolatot támogat közepes számítási feladatokhoz (további információkért lásd az Azure-előfizetés korlátait és kvótáit ). A példányonkénti kapcsolatok száma attól függ, hogy milyen műveleteket hajt végre az ügyfél virtuális gépéhez való csatlakozáskor. Ha például adatigényes műveletet végez, az nagyobb terhelést okoz a példány feldolgozásához. Az egyidejű munkamenetek túllépése után egy másik skálázási egységre (példányra) van szükség.
A példányok az AzureBastionSubnetben jönnek létre. A gazdagép skálázásának lehetővé tételéhez az AzureBastionSubnetnek legalább /26-osnak kell lennie. Kisebb alhálózat használata korlátozza a létrehozható példányok számát. Az AzureBastionSubnetről további információt a jelen cikk alhálózatok szakaszában talál.
Ezt a beállítást a következő módszerekkel konfigurálhatja:
| Metódus | Érték | Hivatkozások | Standard SKU-t vagy magasabb szintű SKU-t igényel |
|---|---|---|---|
| Azure Portal | Példányok száma | Útmutató | Igen |
| Azure PowerShell | ScaleUnit | Útmutató | Igen |
Egyéni portok
Megadhatja, hogy melyik portot szeretné használni a virtuális gépekhez való csatlakozáshoz. Alapértelmezés szerint a csatlakozáshoz használt bejövő portok RDP esetén 3389, SSH esetén pedig 22. Ha egyéni portértéket konfigurál, a virtuális géphez való csatlakozáskor adja meg ezt az értéket.
Az egyéni portértékek csak a Standard termékváltozatban vagy magasabb verzióban támogatottak.
Megosztható hivatkozás
A Bastion Shareable Link funkcióval a felhasználók az Azure Portal elérése nélkül csatlakozhatnak egy célerőforráshoz az Azure Bastion használatával.
Amikor egy Azure-beli hitelesítő adatokkal nem rendelkező felhasználó egy megosztható hivatkozásra kattint, megnyílik egy weblap, amely arra kéri a felhasználót, hogy jelentkezzen be a célerőforrásba RDP-vel vagy SSH-val. A felhasználók felhasználónévvel és jelszóval vagy titkos kulccsal hitelesíthetők attól függően, hogy mit konfigurált az Azure Portalon az adott célerőforráshoz. A felhasználók ugyanazokhoz az erőforrásokhoz csatlakozhatnak, amelyekhez jelenleg az Azure Bastion szolgáltatással csatlakozhat: virtuális gépekhez vagy virtuálisgép-méretezési csoporthoz.
| Metódus | Érték | Hivatkozások | Standard SKU-t vagy magasabb szintű SKU-t igényel |
|---|---|---|---|
| Azure Portal | Megosztható link | Konfigurálás | Igen |
Csak privát üzembe helyezés
A csak privát Bastion üzemeltetések teljes körűen zárolják a számítási feladatokat azáltal, hogy olyan nem internetes, privát IP-címekkel elérhető környezetet hoznak létre. A csak privát Bastion-telepítések nem teszik lehetővé a bastion gazdagéphez való csatlakozást nyilvános IP-címen keresztül. Ezzel szemben a rendszeres Azure Bastion-üzembe helyezés lehetővé teszi, hogy a felhasználók nyilvános IP-címmel csatlakozzanak a bastion hosthoz. További információért lásd: A Bastion csak privátként történő üzembe helyezése.
Munkamenet-rögzítés
Ha az Azure Bastion Session rögzítési funkciója engedélyezve van, rögzítheti a bástya gazdagépen keresztül a virtuális gépekhez (RDP és SSH) létesített kapcsolatok grafikus munkameneteinek rögzítését. A munkamenet bezárása vagy leválasztása után a rögzített munkamenetek egy blobtárolóban lesznek tárolva a tárfiókban (SAS URL-címen keresztül). Amikor egy munkamenet megszakad, a rögzített munkameneteket az Azure Portalon érheti el és tekintheti meg a Munkamenet-rögzítés lapon. A munkamenet-rögzítéshez a Bastion Premium termékváltozat szükséges. További információ: Bastion session recording.
Rendelkezésreállási zónák
Egyes régiók támogatják az Azure Bastion üzembe helyezését egy rendelkezésre állási zónában (vagy több, zónaredundancia esetén). A zónaszintű üzembe helyezéshez helyezze üzembe a Bastiont manuálisan megadott beállításokkal (ne az automatikus alapértelmezett beállításokkal telepítse). Adja meg a kívánt rendelkezésre állási zónákat az üzembe helyezéskor. A Bastion üzembe helyezése után nem módosíthatja a zónabeli rendelkezésre állást.
A rendelkezésre állási zónák támogatása jelenleg előzetes verzióban érhető el. Az előzetes verzióban a következő régiók érhetők el:
- USA keleti régiója
- Ausztrália keleti régiója
- USA 2. keleti régiója
- USA középső régiója
- Közép-Katar
- Dél-Afrika északi régiója
- Nyugat-Európa
- USA 2. nyugati régiója
- Észak-Európa
- Közép-Svédország
- Egyesült Királyság déli régiója
- Közép-Kanada
Következő lépések
A gyakori kérdésekért tekintse meg az Azure Bastion gyakori kérdéseit.