Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In de secties in dit artikel worden de resources en instellingen voor Azure Bastion besproken.
SKU's
Een SKU wordt ook wel een niveau genoemd. Azure Bastion ondersteunt meerdere SKU-lagen. Wanneer u Bastion configureert, selecteert u de SKU-laag. U bepaalt de SKU-laag op basis van de functies die u wilt gebruiken. In de volgende tabel ziet u de beschikbaarheid van functies per bijbehorende SKU.
| Kenmerk | Basis-SKU | Standaard SKU | Premium SKU |
|---|---|---|---|
| Verbinding maken met doel-VM's in hetzelfde virtuele netwerk | Ja | Ja | Ja |
| Verbinding maken met doel-VM's in gekoppelde virtuele netwerken | Ja | Ja | Ja |
| Ondersteuning voor gelijktijdige verbindingen | Ja | Ja | Ja |
| Toegang tot persoonlijke linux-VM-sleutels in Azure Key Vault (AKV) | Ja | Ja | Ja |
| Verbinding maken met linux-VM met behulp van SSH | Ja | Ja | Ja |
| Verbinding maken met windows-VM met behulp van RDP | Ja | Ja | Ja |
| Verbinding maken met linux-VM met behulp van RDP | Nee | Ja | Ja |
| Verbinding maken met windows-VM met behulp van SSH | Nee | Ja | Ja |
| Aangepaste binnenkomende poort opgeven | Nee | Ja | Ja |
| Verbinding maken met VM's met behulp van Azure CLI | Nee | Ja | Ja |
| Schaalbaarheid van de host | Nee | Ja | Ja |
| Bestanden uploaden of downloaden | Nee | Ja | Ja |
| Kerberos-verificatie | Ja | Ja | Ja |
| Deelbare koppeling | Nee | Ja | Ja |
| Verbinding maken met VM's via IP-adres | Nee | Ja | Ja |
| VM-audio-uitvoer | Ja | Ja | Ja |
| Kopiëren/plakken uitschakelen (webgebaseerde clients) | Nee | Ja | Ja |
| Sessie-opname | Nee | Nee | Ja |
| Alleen-privé-implementatie | Nee | Nee | Ja |
Bastion Ontwikkelaar
Bastion Developer is een gratis, lichtgewicht aanbieding van de Azure Bastion-service. Deze aanbieding is ideaal voor Dev/Test-gebruikers die veilig verbinding willen maken met hun VM's, maar geen extra Bastion-functies of hostschalen nodig hebben. Met Bastion Developer kunt u rechtstreeks via de verbindingspagina van de virtuele machine verbinding maken met één Azure-VM tegelijk.
Wanneer u verbinding maakt met Bastion Developer, zijn de implementatievereisten anders dan wanneer u implementeert met andere SKU's. Wanneer u een bastionhost maakt, wordt een host doorgaans geïmplementeerd in het AzureBastionSubnet in uw virtuele netwerk. De Bastion-host is toegewezen voor uw gebruik, terwijl Bastion Developer dat niet is. Omdat de Bastion Developer-resource niet is toegewezen, zijn de functies voor Bastion Developer beperkt. U kunt Bastion Developer altijd upgraden naar een specifieke SKU als u meer functies wilt ondersteunen. Zie Een SKU upgraden.
Bastion Developer is momenteel beschikbaar in de volgende regio's:
- Centraal Australië
- Australië - oost
- Australië Zuidoost
- Brazilië Zuid
- Canada Centraal
- Canada Oost
- Centraal-India
- Centraal VS
- VS - centraal EUAP
- Oost-Azië
- East US 2
- Oost-US 2 EUAP
- Centraal Frankrijk
- West-Centraal Duitsland
- Italië - noord
- Oost-Japan
- Japan Westelijk
- Centraal-Korea
- Zuid-Korea
- Centraal-Mexico
- VS - noord-centraal
- Europa - noord
- Noorwegen - oost
- Centraal Polen
- Zuid-Afrika - noord
- Zuid-India
- Centraal Spanje
- Zuidoost-Azië
- Zweden - centraal
- Zwitserland - noord
- VAE Noord
- Verenigd Koninkrijk Zuid
- West van het Verenigd Koninkrijk
- West-Europa
- West-USA
- West-Centraal VS
Notitie
VNet-peering wordt momenteel niet ondersteund voor Bastion Developer.
Premium productnummer
De Premium-SKU is een nieuwe SKU die ondersteuning biedt voor Bastion-functies zoals Sessieopname en Alleen-privé bastion. Wanneer u Bastion implementeert, wordt u aangeraden de Premium-SKU alleen te selecteren als u de functies nodig hebt die worden ondersteund.
SKU opgeven
| Wijze | SKU-waarde | Koppelingen |
|---|---|---|
| Azure Portal | Niveau - Ontwikkelaar | Snelstart |
| Azure Portal | Niveau - Standaard | Snelstart |
| Azure Portal | Niveau - Basis of hoger | Handleiding |
| Azure PowerShell | Niveau - Basis of hoger | Handleiding |
| Azure-CLI | Niveau - Basis of hoger | Handleiding |
Een SKU upgraden
U kunt altijd een SKU upgraden om meer functies toe te voegen. Zie Een SKU upgraden voor meer informatie.
Notitie
Het downgraden van een SKU wordt niet ondersteund. Als u een downgrade wilt uitvoeren, moet u Azure Bastion verwijderen en opnieuw maken.
Azure Bastionsubnet
Belangrijk
Voor Azure Bastion-resources die zijn geïmplementeerd op of na 2 november 2021, is de minimale grootte van AzureBastionSubnet /26 of groter (/25, /24, enzovoort). Alle Azure Bastion-resources die zijn geïmplementeerd in subnetten van grootte /27 vóór deze datum, worden niet beïnvloed door deze wijziging en blijven werken, maar we raden u ten zeerste aan om de grootte van bestaande AzureBastionSubnet te vergroten naar /26 voor het geval u ervoor kiest om in de toekomst te profiteren van het schalen van hosts.
Wanneer u Azure Bastion implementeert met behulp van een SKU behalve de Bastion Developer-aanbieding, is voor Bastion een toegewezen subnet met de naam AzureBastionSubnet vereist. U moet dit subnet maken in hetzelfde virtuele netwerk waarnaar u Azure Bastion wilt implementeren. Het subnet moet de volgende configuratie hebben:
- Subnetnaam moet AzureBastionSubnet zijn.
- Subnetgrootte moet /26 of groter zijn (/25, /24 enzovoort).
- Voor het schalen van de host wordt een /26 of groter subnet aanbevolen. Het gebruik van een kleinere subnetruimte beperkt het aantal schaaleenheden. Zie de sectie Host schalen van dit artikel voor meer informatie.
- Het subnet moet zich in hetzelfde virtuele netwerk en dezelfde resourcegroep bevinden als de bastionhost.
- Het subnet kan geen andere resources bevatten.
U kunt deze instelling configureren met behulp van de volgende methoden:
| Wijze | Waarde | Koppelingen |
|---|---|---|
| Azure Portal | Subnetwerk |
Snelstart Handleiding |
| Azure PowerShell | -subnetNaam | cmdlet |
| Azure-CLI | --subnetnaam | bevelen |
Openbaar IP-adres
Voor Azure Bastion-implementaties, met uitzondering van Bastion Developer en Alleen privé, is een openbaar IP-adres vereist. Het openbare IP-adres moet de volgende configuratie hebben:
- De openbare IP-adres-SKU moet standaard zijn.
- De toewijzing/toewijzingsmethode van het openbare IP-adres moet statisch zijn.
- De naam van het openbare IP-adres is de resourcenaam waarmee u naar dit openbare IP-adres wilt verwijzen.
- U kunt ervoor kiezen om een openbaar IP-adres te gebruiken dat u al hebt gemaakt, zolang het voldoet aan de criteria die vereist zijn voor Azure Bastion en nog niet in gebruik is.
U kunt deze instelling configureren met behulp van de volgende methoden:
| Wijze | Waarde | Koppelingen |
|---|---|---|
| Azure Portal | Openbaar IP-adres | Azure-portal |
| Azure PowerShell | -OpenbaarIpAdres | cmdlet |
| Azure-CLI | --public-ip aanmaken | bevelen |
Instanties en scaling van hosts
Een exemplaar is een geoptimaliseerde Azure-VM die wordt gemaakt wanneer u Azure Bastion configureert. Het wordt volledig beheerd door Azure en voert alle processen uit die nodig zijn voor Azure Bastion. Een exemplaar wordt ook wel een schaaleenheid genoemd. U maakt verbinding met client-VM's via een Azure Bastion-exemplaar. Wanneer u Azure Bastion configureert met behulp van de Basic SKU, worden er twee exemplaren gemaakt. Als u de Standard-SKU of hoger gebruikt, kunt u het aantal exemplaren opgeven (met minimaal twee exemplaren). Dit wordt hostschaling genoemd.
Elk exemplaar kan ondersteuning bieden voor 20 gelijktijdige RDP-verbindingen en 40 gelijktijdige SSH-verbindingen voor middelgrote workloads (zie Limieten en quota voor Azure-abonnementen voor meer informatie). Het aantal verbindingen per instantie is afhankelijk van de acties die u uitvoert wanneer u verbinding maakt met de client-VM. Als u bijvoorbeeld iets gegevensintensiefs doet, zorgt dit voor een grotere belasting voor de instantie om te verwerken. Zodra de gelijktijdige sessies zijn overschreden, is een andere schaaleenheid (instantie) vereist.
Instanties worden gemaakt in de AzureBastionSubnet. Als u het schalen van de host wilt toestaan, moet het AzureBastionSubnet /26 of groter zijn. Als u een kleiner subnet gebruikt, beperkt u het aantal exemplaren dat u kunt maken. Zie de sectie subnetten in dit artikel voor meer informatie over het AzureBastionSubnet.
U kunt deze instelling configureren met behulp van de volgende methoden:
| Wijze | Waarde | Koppelingen | Vereist Standard SKU of hoger |
|---|---|---|---|
| Azure Portal | Instantieaantal | Handleiding | Ja |
| Azure PowerShell | ScaleUnit | Handleiding | Ja |
Aangepaste poorten
U kunt de poort opgeven die u wilt gebruiken om verbinding te maken met uw VM's. Standaard zijn de binnenkomende poorten die worden gebruikt om verbinding te maken 3389 voor RDP en 22 voor SSH. Als u een aangepaste poortwaarde configureert, geeft u die waarde op wanneer u verbinding maakt met de virtuele machine.
Aangepaste poortwaarden worden alleen ondersteund voor de Standard-SKU of hoger.
Deelbare koppeling
Met de functie Bastion Shareable Link kunnen gebruikers verbinding maken met een doelresource met behulp van Azure Bastion zonder toegang te krijgen tot Azure Portal.
Wanneer een gebruiker zonder Azure-referenties op een deelbare koppeling klikt, wordt er een webpagina geopend waarin de gebruiker wordt gevraagd zich via RDP of SSH aan te melden bij de doelresource. Gebruikers verifiëren met een gebruikersnaam en wachtwoord of persoonlijke sleutel, afhankelijk van wat u hebt geconfigureerd in Azure Portal voor die doelresource. Gebruikers kunnen verbinding maken met dezelfde resources waarmee u momenteel verbinding kunt maken met Azure Bastion: VM's of virtuele machineschaalsets.
| Wijze | Waarde | Koppelingen | Vereist Standard SKU of hoger |
|---|---|---|---|
| Azure Portal | Deelbare koppeling | Configureren | Ja |
Alleen-privé-implementatie
Privé-only Bastion-implementaties vergrendelen workloads end-to-end door een niet-internetrouteerbare implementatie van Bastion te maken die alleen toegang tot privé-IP-adressen toestaat. Bastion-implementaties met alleen privétoegang staan geen verbindingen met de bastionhost toe via een openbaar IP-adres. Met een reguliere Azure Bastion-implementatie kunnen gebruikers echter verbinding maken met de bastionhost met behulp van een openbaar IP-adres. Voor meer informatie, zie Bastion in de privémodus implementeren.
Sessie-opname
Wanneer de functie opname van Azure Bastion-sessies is ingeschakeld, kunt u de grafische sessies opnemen voor verbindingen die zijn gemaakt met virtuele machines (RDP en SSH) via de bastionhost. Nadat de sessie is gesloten of de verbinding is verbroken, worden opgenomen sessies opgeslagen in een blobcontainer binnen uw opslagaccount (via SAS-URL). Wanneer de verbinding met een sessie is verbroken, kunt u uw opgenomen sessies openen en weergeven in Azure Portal op de pagina Sessieopname. Voor sessieopname is de Bastion Premium-SKU vereist. Zie De opname van Bastion-sessies voor meer informatie.
Beschikbaarheidszones
Sommige regio's ondersteunen de mogelijkheid om Azure Bastion te implementeren in een beschikbaarheidszone (of meerdere, voor zoneredundantie). Om zonegewijs te implementeren, implementeer Bastion met behulp van handmatig opgegeven instellingen (niet implementeren met behulp van de automatische standaardinstellingen). Geef de gewenste beschikbaarheidszones op het moment van de implementatie op. U kunt de zonegebonden beschikbaarheid niet wijzigen nadat Bastion is geïmplementeerd.
Ondersteuning voor Beschikbaarheidszones is momenteel beschikbaar als preview-versie. Tijdens de preview zijn de volgende regio's beschikbaar:
- Oostelijke VS
- Australië - oost
- East US 2
- Centraal VS
- Qatar Centraal
- Zuid-Afrika - noord
- West-Europa
- West-US 2
- Europa - noord
- Zweden - centraal
- Verenigd Koninkrijk Zuid
- Canada Centraal
Volgende stappen
Zie de veelgestelde vragen over Azure Bastion voor veelgestelde vragen.