Informazioni sulle impostazioni di configurazione di Bastion
Le sezioni di questo articolo illustrano le risorse e le impostazioni per Azure Bastion.
SKU
Uno SKU è noto anche come livello. Azure Bastion supporta più livelli SKU. Quando si configura Bastion, si seleziona il livello SKU. Si decide il livello SKU in base alle funzionalità che si desidera usare. La tabella seguente illustra la disponibilità delle funzionalità per ogni SKU corrispondente.
Funzionalità | SKU per sviluppatori | SKU Basic | SKU Standard | SKU Premium |
---|---|---|---|---|
Connessione alle macchine virtuali di destinazione nella stessa rete virtuale | Sì | Sì | Sì | Sì |
Connessione alle macchine virtuali di destinazione nelle reti virtuali con peering | No | Sì | Sì | Sì |
Supporto per connessioni simultanee | No | Sì | Sì | Sì |
Accesso alle chiavi private della macchina virtuale Linux in Azure Key Vault (AKV) | No | Sì | Sì | Sì |
Connessione a una macchina virtuale Linux tramite SSH | Sì | Sì | Sì | Sì |
Connessione a una macchina virtuale Windows tramite RDP | Sì | Sì | Sì | Sì |
Connessione a una macchina virtuale Linux tramite RDP | No | No | Sì | Sì |
Connessione a una macchina virtuale Windows tramite SSH | No | No | Sì | Sì |
Definizione della porta in ingresso personalizzata | No | No | Sì | Sì |
Connessione alle macchine virtuali tramite l'interfaccia della riga di comando di Azure | No | No | Sì | Sì |
Ridimensionamento dell'host | No | No | Sì | Sì |
Caricamento o download di file | No | No | Sì | Sì |
Autenticazione Kerberos | No | Sì | Sì | Sì |
Collegamento condivisibile | No | No | Sì | Sì |
Connessione alle macchine virtuali tramite indirizzo IP | No | No | Sì | Sì |
Output audio della macchina virtuale | Sì | Sì | Sì | Sì |
Disabilitazione di copia/incolla (client basati sul Web) | No | No | Sì | Sì |
Registrazione sessione | No | No | No | Sì |
Distribuzione solo privata | No | No | No | Sì |
SKU per sviluppatori
Lo SKU per sviluppatori Bastion è uno SKU gratuito e leggero. Questo SKU è ideale per gli utenti che si occupano di sviluppo/test e vogliono connettersi in modo sicuro alle macchine virtuali, ma non necessitano di funzionalità Bastion aggiuntive o scalabilità dell'host. Con lo SKU per sviluppatori è possibile connettersi a una macchina virtuale di Azure alla volta direttamente tramite la pagina di connessione della macchina virtuale.
Quando si distribuisce Bastion usando lo SKU per sviluppatori, i requisiti di distribuzione sono diversi dalla distribuzione con altri SKU. In genere, quando si crea un host bastion, un host viene distribuito in AzureBastionSubnet nella rete virtuale. L'host Bastion è dedicato per l'uso. Quando si usa lo SKU per sviluppatori, un host bastion non viene distribuito nella rete virtuale e non è necessaria un'istanza di AzureBastionSubnet. Tuttavia, l'host bastion dello SKU per sviluppatori non è una risorsa dedicata. Fa invece parte di un pool condiviso.
Poiché la risorsa bastion dello SKU per sviluppatori non è dedicata, le funzionalità per lo SKU per sviluppatori sono limitate. Vedere la sezione SKU delle impostazioni di configurazione di Bastion per un elenco delle funzionalità dello SKU. È sempre possibile aggiornare lo SKU per sviluppatori a uno SKU superiore se è necessario supportare altre funzionalità. Vedere Aggiornare uno SKU.
Lo SKU Developer è attualmente disponibile nelle aree seguenti:
- Stati Uniti centrali (EUAP)
- Stati Uniti orientali 2 EUAP
- Stati Uniti centro-occidentali
- Stati Uniti centro-settentrionali
- Stati Uniti occidentali
- Europa settentrionale
Nota
Il peering reti virtuali non è attualmente supportato per lo SKU Developer.
SKU Premium (anteprima)
Lo SKU Premium è un nuovo SKU che supporta le funzionalità Bastion, ad esempio Registrazione sessione e Bastion Solo privato. Quando si distribuisce Bastion, è consigliabile selezionare lo SKU Premium solo se sono necessarie le funzionalità supportate.
Specificare lo SKU
metodo | Valore SKU | Collegamenti |
---|---|---|
Portale di Azure | Livello - Developer | Guida introduttiva |
Portale di Azure | Livello - Basic | Guida introduttiva |
Portale di Azure | Livello - Basic o superiore | Esercitazione |
Azure PowerShell | Livello - Basic o superiore | Procedura |
Interfaccia della riga di comando di Azure | Livello - Basic o superiore | Procedura |
Aggiornare uno SKU
È sempre possibile aggiornare uno SKU per aggiungere altre funzionalità. Per altre informazioni, vedere Aggiornamento a SKU.
Nota
Il downgrade di uno SKU non è supportato. Per effettuare il downgrade, è necessario eliminare e ricreare Azure Bastion.
Subnet di Azure Bastion
Importante
Per le risorse di Azure Bastion distribuite il 2 novembre 2021, le dimensioni minime di AzureBastionSubnet sono /26 o superiori (/25, /24 e così via). Tutte le risorse di Azure Bastion distribuite nelle subnet di dimensioni /27 precedenti a questa data non sono interessate da questa modifica e continueranno a funzionare; tuttavia, è consigliabile aumentare le dimensioni di qualsiasi azureBastionSubnet esistente a /26 nel caso in cui si scelga di sfruttare il ridimensionamento dell'host in futuro.
Quando si distribuisce Azure Bastion usando qualsiasi SKU ad eccezione dello SKU Developer, Bastion richiede una subnet dedicata denominata AzureBastionSubnet. È necessario creare questa subnet nella stessa rete virtuale in cui si vuole distribuire Azure Bastion. La subnet deve avere la configurazione seguente:
- Il nome della subnet deve essere AzureBastionSubnet.
- Le dimensioni della subnet devono essere /26 o superiori (/25, /24 e così via).
- Per il ridimensionamento dell'host, è consigliabile usare una subnet /26 o superiore. L'uso di uno spazio subnet inferiore limita il numero di unità di scala. Per altre informazioni, vedere la sezione Ridimensionamento host di questo articolo.
- La subnet deve trovarsi nella stessa rete virtuale e nello stesso gruppo di risorse dell'host bastion.
- La subnet non può contenere altre risorse.
È possibile configurare questa impostazione usando i metodi seguenti:
metodo | Valore | Collegamenti |
---|---|---|
Portale di Azure | Subnet | Guida introduttiva Esercitazione |
Azure PowerShell | -subnetName | cmdlet |
Interfaccia della riga di comando di Azure | --subnet-name | command |
Indirizzo IP pubblico
Le distribuzioni di Azure Bastion, ad eccezione dello SKU Developere Solo privato, richiedono un indirizzo IP pubblico. L'indirizzo IP pubblico deve avere la configurazione seguente:
- Lo SKU per l'indirizzo IP pubblico deve essere Standard.
- Il metodo di assegnazione/allocazione dell'indirizzo IP pubblico deve essere Statico.
- Il nome dell'indirizzo IP pubblico è il nome della risorsa in base al quale si vuole fare riferimento a questo indirizzo IP pubblico.
- È possibile scegliere di usare un indirizzo IP pubblico già creato, purché soddisfi i criteri richiesti da Azure Bastion e non sia già in uso.
È possibile configurare questa impostazione usando i metodi seguenti:
metodo | Valore | Collegamenti |
---|---|---|
Portale di Azure | Indirizzo IP pubblico | Azure portal |
Azure PowerShell | -PublicIpAddress | cmdlet |
Interfaccia della riga di comando di Azure | --public-ip create | command |
Istanze e ridimensionamento dell'host
Un'istanza è una macchina virtuale di Azure ottimizzata creata durante la configurazione di Azure Bastion. È completamente gestito da Azure ed esegue tutti i processi necessari per Azure Bastion. Un'istanza è detta anche unità di scala. Connettersi alle macchine virtuali client tramite un'istanza di Azure Bastion. Quando si configura Azure Bastion usando lo SKU Basic, vengono create due istanze. Se si usa lo SKU Standard o superiore, è possibile specificare il numero di istanze (con almeno due istanze). Questa operazione è denominata ridimensionamento host.
Ogni istanza può supportare 20 connessioni RDP simultanee e 40 connessioni SSH simultanee per carichi di lavoro medi, vedere Limiti e quote delle sottoscrizioni di Azure per altre informazioni. Il numero di connessioni per istanza dipende dalle azioni eseguite quando si è connessi alla macchina virtuale client. Ad esempio, se si esegue un'operazione che richiede un utilizzo intensivo dei dati, viene creato un carico maggiore per l'elaborazione dell'istanza. Una volta superate le sessioni simultanee, è necessaria un'altra unità di scala (istanza).
Le istanze vengono create in AzureBastionSubnet. Per consentire il ridimensionamento dell'host, AzureBastionSubnet deve essere /26 o superiore. L'uso di una subnet più piccola limita il numero di istanze che è possibile creare. Per altre informazioni su AzureBastionSubnet, vedere la sezione subnet in questo articolo.
È possibile configurare questa impostazione usando i metodi seguenti:
metodo | Valore | Collegamenti | Richiede SKU Standard o versione successiva |
---|---|---|---|
Portale di Azure | Numero di istanze | Procedura | Sì |
Azure PowerShell | ScaleUnit | Procedura | Sì |
Porte personalizzate
È possibile specificare la porta da usare per connettersi alle macchine virtuali. Per impostazione predefinita, le porte in ingresso usate per la connessione sono 3389 per RDP e 22 per SSH. Se si configura un valore di porta personalizzato, specificare tale valore quando ci si connette alla macchina virtuale.
I valori di porta personalizzati sono supportati solo per lo SKU Standard o superiore.
Collegamento condivisibile
La funzionalità Collegamento condivisibile Bastion consente agli utenti di connettersi a una risorsa di destinazione usando Azure Bastion senza accedere al portale di Azure.
Quando un utente senza credenziali di Azure fa clic su un collegamento condivisibile, viene aperta una pagina Web che richiede all'utente di accedere alla risorsa di destinazione tramite RDP o SSH. Gli utenti eseguono l'autenticazione usando nome utente e password o chiave privata, a seconda di ciò che è stato configurato nel portale di Azure per tale risorsa di destinazione. Gli utenti possono connettersi alle stesse risorse a cui è attualmente possibile connettersi con Azure Bastion: macchine virtuali o set di scalabilità di macchine virtuali.
metodo | Valore | Collegamenti | Richiede SKU Standard o versione successiva |
---|---|---|---|
Portale di Azure | Collegamento condivisibile | Configurare | Sì |
Distribuzione solo privata
Le distribuzioni di Bastion solo private bloccano i carichi di lavoro end-to-end creando una distribuzione instradabile non Internet di Bastion che consente solo l'accesso con indirizzi IP privati. Le distribuzioni di Bastion solo private non consentono connessioni all'host bastion tramite indirizzo IP pubblico. Al contrario, una normale distribuzione di Azure Bastion consente agli utenti di connettersi all'host bastion usando un indirizzo IP pubblico. Per altre informazioni, vedere Distribuire Bastion come solo privato.
Registrazione sessione
Quando la funzionalità di Registrazione della sessione Azure Bastion è abilitata, è possibile registrare le sessioni grafiche per le connessioni effettuate alle macchine virtuali (RDP e SSH) tramite l'host bastion. Dopo la chiusura o la disconnessione della sessione, le sessioni registrate vengono archiviate in un contenitore BLOB all'interno dell'account di archiviazione (tramite URL di firma di accesso condiviso). Quando una sessione è disconnessa, è possibile accedere e visualizzare le sessioni registrate nel portale di Azure nella pagina Registrazione della sessione. La registrazione della sessione richiede SKU Bastion Premium. Per altre informazioni, vedere Registrazione di sessioni Bastion.
Zone di disponibilità
Alcune aree supportano la possibilità di distribuire Azure Bastion in una zona di disponibilità (o più per la ridondanza della zona). Per distribuire a livello di area, distribuire Bastion usando le impostazioni specificate manualmente (non distribuire usando le impostazioni predefinite automatiche). Specificare le zone di disponibilità desiderate al momento della distribuzione. Non è possibile modificare la disponibilità di zona dopo la distribuzione di Bastion.
Il supporto per le zone di disponibilità è attualmente in anteprima. Durante l'anteprima sono disponibili le aree seguenti:
- Stati Uniti orientali
- Australia orientale
- Stati Uniti orientali 2
- Stati Uniti centrali
- Qatar centrale
- Sudafrica settentrionale
- Europa occidentale
- West US 2
- Europa settentrionale
- Svezia centrale
- Regno Unito meridionale
- Canada centrale
Passaggi successivi
Per domande frequenti, vedere Domande frequenti su Azure Bastion.