Tudnivalók a Bastion konfigurációs beállításairól
A cikk szakaszai az Azure Bastion erőforrásait és beállításait ismertetik.
Termékváltozatok
A termékváltozatot rétegnek is nevezik. Az Azure Bastion több termékváltozatszintet is támogat. A Bastion konfigurálásakor válassza ki az SKU-szintet. A használni kívánt funkciók alapján dönti el az SKU-szintet. Az alábbi táblázat a szolgáltatások megfelelő termékváltozatonkénti rendelkezésre állását mutatja be.
| Szolgáltatás | Fejlesztői termékváltozat | Alapszintű termékváltozat | Standard termékváltozat | Prémium termékváltozat |
|---|---|---|---|---|
| Csatlakozás a cél virtuális gépekhez ugyanabban a virtuális hálózaton | Igen | Igen | Igen | Igen |
| Csatlakozás a társviszonyban lévő virtuális hálózatok cél virtuális gépeihez | Nem | Igen | Igen | Igen |
| Egyidejű kapcsolatok támogatása | Nem | Igen | Igen | Igen |
| Linux rendszerű virtuálisgép-titkos kulcsok elérése az Azure Key Vaultban (AKV) | Nem | Igen | Igen | Igen |
| Csatlakozás Linux rendszerű virtuális géphez SSH használatával | Igen | Igen | Igen | Igen |
| Csatlakozás Windows rendszerű virtuális géphez RDP használatával | Igen | Igen | Igen | Igen |
| Csatlakozás Linux rendszerű virtuális géphez RDP használatával | Nem | Nem | Igen | Igen |
| Csatlakozás Windows rendszerű virtuális géphez SSH használatával | Nem | Nem | Igen | Igen |
| Egyéni bejövő port megadása | Nem | Nem | Igen | Igen |
| Csatlakozás virtuális gépekhez az Azure CLI használatával | Nem | Nem | Igen | Igen |
| Gazdagép skálázása | Nem | Nem | Igen | Igen |
| Fájlok feltöltése vagy letöltése | Nem | Nem | Igen | Igen |
| Kerberos-hitelesítés | Nem | Igen | Igen | Igen |
| Megosztható hivatkozás | Nem | Nem | Igen | Igen |
| Csatlakozás virtuális gépekhez IP-címmel | Nem | Nem | Igen | Igen |
| Virtuális gép hangkimenete | Igen | Igen | Igen | Igen |
| Másolás/beillesztés letiltása (webalapú ügyfelek) | Nem | Nem | Igen | Igen |
| Munkamenet-rögzítés | Nem | Nem | Nem | Igen |
| Csak privát üzembe helyezés | Nem | Nem | Nem | Igen |
Fejlesztői termékváltozat
A Bastion Developer termékváltozat egy ingyenes, könnyű termékváltozat. Ez az termékváltozat ideális azoknak a fejlesztői/tesztelési felhasználóknak, akik biztonságosan szeretnének csatlakozni a virtuális gépeikhez, de nincs szükségük további Bastion-funkciókra vagy gazdagépméretezésre. A fejlesztői termékváltozattal egyszerre egy Azure-beli virtuális géphez csatlakozhat közvetlenül a virtuális gép csatlakoztatási oldalán keresztül.
Ha a Bastiont a fejlesztői termékváltozat használatával telepíti, az üzembe helyezési követelmények eltérnek attól, hogy más termékváltozatokkal telepít. A megerősített gazdagépek létrehozásakor általában egy gazdagép lesz üzembe helyezve a virtuális hálózaton található AzureBastionSubneten. A Bastion-gazdagép dedikált az Ön számára. A fejlesztői termékváltozat használatakor a megerősített gazdagép nincs üzembe helyezve a virtuális hálózaton, és nincs szüksége AzureBastionSubnetre. A fejlesztői termékváltozat-tároló gazdagép azonban nem dedikált erőforrás. Ehelyett egy megosztott készlet része.
Mivel a fejlesztői termékváltozat megerősített erőforrása nem dedikált, a fejlesztői termékváltozat funkciói korlátozottak. Az SKU által felsorolt funkciókért tekintse meg a Bastion konfigurációs beállítások termékváltozata című szakaszt. Ha további funkciókat szeretne támogatni, mindig frissítheti a fejlesztői termékváltozatot egy magasabb termékváltozatra. Lásd: Termékváltozat frissítése.
A fejlesztői termékváltozat jelenleg a következő régiókban érhető el:
- USA középső régiója – EUAP
- USA 2. keleti régiója – EUAP
- USA nyugati középső régiója
- USA északi középső régiója
- USA nyugati régiója
- Észak-Európa
Feljegyzés
A fejlesztői termékváltozat jelenleg nem támogatja a virtuális hálózatok közötti társviszony-létesítést.
Prémium termékváltozat (előzetes verzió)
A Prémium termékváltozat egy új termékváltozat, amely támogatja a Bastion olyan funkcióit, mint a Session Recording és a Private-Only Bastion. A Bastion telepítésekor azt javasoljuk, hogy csak akkor válassza ki a Prémium termékváltozatot, ha szüksége van az általa támogatott funkciókra.
Termékváltozat megadása
| Metódus | Termékváltozat értéke | Hivatkozások |
|---|---|---|
| Azure Portal | Réteg – Fejlesztő | Gyors útmutató |
| Azure Portal | Szint – Alapszintű | Gyors útmutató |
| Azure Portal | Szint – Alapszintű vagy magasabb | Oktatóanyag |
| Azure PowerShell | Szint – Alapszintű vagy magasabb | Útmutató |
| Azure CLI | Szint – Alapszintű vagy magasabb | Útmutató |
Termékváltozat frissítése
Az SKU-t mindig frissítheti további funkciók hozzáadásához. További információ: Termékváltozat frissítése.
Feljegyzés
A termékváltozat leminősítése nem támogatott. A visszalépéshez törölnie kell és újra létre kell hoznia az Azure Bastiont.
Azure Bastion-alhálózat
Fontos
A 2021. november 2-án vagy azt követően üzembe helyezett Azure Bastion-erőforrások esetében az AzureBastionSubnet minimális mérete /26 vagy nagyobb (/25, /24 stb.). A jelenlegi /27 méretű alhálózatokon üzembe helyezett Összes Azure Bastion-erőforrást ez a változás nem érinti, és továbbra is működni fog, de javasoljuk, hogy a meglévő AzureBastionSubnet méretét /26-ra növelje, ha a gazdagépek skálázását a jövőben kihasználja.
Ha az Azure Bastiont a fejlesztői termékváltozat kivételével bármely termékváltozat használatával telepíti, a Bastionnak egy Dedikált AzureBastionSubnet nevű alhálózatra van szüksége. Ezt az alhálózatot ugyanabban a virtuális hálózaton kell létrehoznia, amelyben üzembe szeretné helyezni az Azure Bastiont. Az alhálózatnak a következő konfigurációval kell rendelkeznie:
- Az alhálózat nevének AzureBastionSubnetnek kell lennie.
- Az alhálózat méretének /26 vagy nagyobbnak kell lennie (/25, /24 stb.).
- Gazdagépméretezéshez /26 vagy nagyobb alhálózat használata ajánlott. Kisebb alhálózati terület használata korlátozza a méretezési egységek számát. További információt a jelen cikk Gazdagép skálázás című szakaszában talál.
- Az alhálózatnak ugyanabban a virtuális hálózatban és erőforráscsoportban kell lennie, mint a megerősített gazdagépnek.
- Az alhálózat nem tartalmazhat más erőforrásokat.
Ezt a beállítást a következő módszerekkel konfigurálhatja:
| Metódus | Érték | Hivatkozások |
|---|---|---|
| Azure Portal | Alhálózat | Gyors útmutató Oktatóanyag |
| Azure PowerShell | -subnetName | parancsmag |
| Azure CLI | --alhálózat neve | parancs |
Nyilvános IP-cím
Az Azure Bastion üzemelő példányai – a fejlesztői termékváltozat és a csak privát verzió kivételével – nyilvános IP-címet igényelnek. A nyilvános IP-címnek a következő konfigurációval kell rendelkeznie:
- A nyilvános IP-cím termékváltozatának standardnak kell lennie.
- A nyilvános IP-cím hozzárendelési/foglalási metódusnak statikusnak kell lennie.
- A nyilvános IP-cím az az erőforrásnév, amellyel hivatkozni szeretne erre a nyilvános IP-címre.
- Dönthet úgy, hogy a már létrehozott nyilvános IP-címet használja, ha az megfelel az Azure Bastion által megkövetelt feltételeknek, és még nincs használatban.
Ezt a beállítást a következő módszerekkel konfigurálhatja:
| Metódus | Érték | Hivatkozások |
|---|---|---|
| Azure Portal | Nyilvános IP-cím | Azure Portalra |
| Azure PowerShell | -PublicIpAddress | parancsmag |
| Azure CLI | --public-ip create | parancs |
Példányok és gazdagépek méretezése
A példány egy optimalizált Azure-beli virtuális gép, amely az Azure Bastion konfigurálásakor jön létre. Az Azure teljes mértékben felügyeli, és az Azure Bastionhoz szükséges összes folyamatot futtatja. A példányokat skálázási egységnek is nevezik. Egy Azure Bastion-példányon keresztül csatlakozhat ügyfél virtuális gépekhez. Ha az Azure Bastiont az alapszintű termékváltozat használatával konfigurálja, két példány jön létre. Ha a Standard termékváltozatot vagy magasabbat használja, megadhatja a példányok számát (legalább két példánysal). Ezt gazdaméretezésnek nevezzük.
Minden példány 20 egyidejű RDP-kapcsolatot és 40 egyidejű SSH-kapcsolatot támogat közepes számítási feladatokhoz (további információkért lásd az Azure-előfizetés korlátait és kvótáit ). A példányonkénti kapcsolatok száma attól függ, hogy milyen műveleteket hajt végre az ügyfél virtuális gépéhez való csatlakozáskor. Ha például adatigényes műveletet végez, az nagyobb terhelést okoz a példány feldolgozásához. Az egyidejű munkamenetek túllépése után egy másik skálázási egységre (példányra) van szükség.
A példányok az AzureBastionSubnetben jönnek létre. A gazdagépek skálázásának engedélyezéséhez az AzureBastionSubnetnek /26 vagy nagyobbnak kell lennie. Kisebb alhálózat használata korlátozza a létrehozható példányok számát. Az AzureBastionSubnetről további információt a jelen cikk alhálózatok szakaszában talál.
Ezt a beállítást a következő módszerekkel konfigurálhatja:
| Metódus | Érték | Hivatkozások | Standard termékváltozatot vagy újabb verziót igényel |
|---|---|---|---|
| Azure Portal | Példányok száma | Útmutató | Igen |
| Azure PowerShell | ScaleUnit | Útmutató | Igen |
Egyéni portok
Megadhatja, hogy melyik portot szeretné használni a virtuális gépekhez való csatlakozáshoz. Alapértelmezés szerint a csatlakozáshoz használt bejövő portok RDP esetén 3389, SSH esetén pedig 22. Ha egyéni portértéket konfigurál, a virtuális géphez való csatlakozáskor adja meg ezt az értéket.
Az egyéni portértékek csak a Standard termékváltozatban vagy magasabb verzióban támogatottak.
Megosztható hivatkozás
A Bastion Shareable Link funkcióval a felhasználók az Azure Portal elérése nélkül csatlakozhatnak egy célerőforráshoz az Azure Bastion használatával.
Amikor egy Azure-beli hitelesítő adatokkal nem rendelkező felhasználó egy megosztható hivatkozásra kattint, megnyílik egy weblap, amely arra kéri a felhasználót, hogy jelentkezzen be a célerőforrásba RDP-vel vagy SSH-val. A felhasználók felhasználónévvel és jelszóval vagy titkos kulccsal hitelesíthetők attól függően, hogy mit konfigurált az Azure Portalon az adott célerőforráshoz. A felhasználók ugyanazokhoz az erőforrásokhoz csatlakozhatnak, amelyekhez jelenleg az Azure Bastion szolgáltatással csatlakozhat: virtuális gépekhez vagy virtuálisgép-méretezési csoporthoz.
| Metódus | Érték | Hivatkozások | Standard termékváltozatot vagy újabb verziót igényel |
|---|---|---|---|
| Azure Portal | Megosztható link | Konfigurálás | Igen |
Csak privát üzembe helyezés
A csak privát Bastion-üzemelő példányok teljes körűen zárolják a számítási feladatokat a Bastion nem internetes, nem internetes környezetének létrehozásával, amely csak a privát IP-címek elérését teszi lehetővé. A csak privát Bastion-telepítések nem teszik lehetővé a megerősített gazdagéphez való csatlakozást nyilvános IP-címen keresztül. Ezzel szemben a rendszeres Azure Bastion-üzembe helyezés lehetővé teszi, hogy a felhasználók nyilvános IP-címmel csatlakozzanak a megerősített gazdagéphez. További információ: A Bastion üzembe helyezése csak privátként.
Munkamenet-rögzítés
Ha az Azure Bastion Session rögzítési funkciója engedélyezve van, a megerősített gazdagépen keresztül rögzítheti a virtuális gépekhez (RDP és SSH) létesített kapcsolatok grafikus munkameneteit. A munkamenet bezárása vagy leválasztása után a rögzített munkamenetek egy blobtárolóban lesznek tárolva a tárfiókban (SAS URL-címen keresztül). Amikor egy munkamenet megszakad, a rögzített munkameneteket az Azure Portalon érheti el és tekintheti meg a Munkamenet-rögzítés lapon. A munkamenet-rögzítéshez a Bastion Premium termékváltozat szükséges. További információ: Bastion session recording.
Rendelkezésreállási zónák
Egyes régiók támogatják az Azure Bastion üzembe helyezését egy rendelkezésre állási zónában (vagy több, zónaredundancia esetén). A zónaszintű üzembe helyezéshez helyezze üzembe a Bastiont manuálisan megadott beállításokkal (ne az automatikus alapértelmezett beállításokkal telepítse). Adja meg a kívánt rendelkezésre állási zónákat az üzembe helyezéskor. A Bastion üzembe helyezése után nem módosíthatja a zónabeli rendelkezésre állást.
A rendelkezésre állási zónák támogatása jelenleg előzetes verzióban érhető el. Az előzetes verzióban a következő régiók érhetők el:
- USA keleti régiója
- Kelet-Ausztrália
- USA 2. keleti régiója
- Az USA középső régiója
- Közép-Katar
- Dél-Afrika északi régiója
- Nyugat-Európa
- USA 2. nyugati régiója
- Észak-Európa
- Közép-Svédország
- Az Egyesült Királyság déli régiója
- Közép-Kanada
Következő lépések
A gyakori kérdésekért tekintse meg az Azure Bastion gyakori kérdéseit.