Lezen in het Engels

Delen via


Over De configuratie-instellingen van Bastion

In de secties in dit artikel worden de resources en instellingen voor Azure Bastion besproken.

SKU's

Een SKU wordt ook wel een laag genoemd. Azure Bastion ondersteunt meerdere SKU-lagen. Wanneer u Bastion configureert, selecteert u de SKU-laag. U bepaalt de SKU-laag op basis van de functies die u wilt gebruiken. In de volgende tabel ziet u de beschikbaarheid van functies per bijbehorende SKU.

Functie Ontwikkelaars-SKU Basis-SKU Standaard SKU Premium SKU
Verbinding maken met doel-VM's in hetzelfde virtuele netwerk Ja Ja Ja Ja
Verbinding maken met doel-VM's in gekoppelde virtuele netwerken Nr. Ja Ja Ja
Ondersteuning voor gelijktijdige verbindingen Nr. Ja Ja Ja
Toegang tot persoonlijke linux-VM-sleutels in Azure Key Vault (AKV) Nr. Ja Ja Ja
Verbinding maken met linux-VM met behulp van SSH Ja Ja Ja Ja
Verbinding maken met windows-VM met behulp van RDP Ja Ja Ja Ja
Verbinding maken met linux-VM met behulp van RDP Nee No Ja Ja
Verbinding maken met windows-VM met behulp van SSH Nee No Ja Ja
Aangepaste binnenkomende poort opgeven Nee No Ja Ja
Verbinding maken met VM's met behulp van Azure CLI Nee No Ja Ja
Host schalen Nee No Ja Ja
Bestanden uploaden of downloaden Nee No Ja Ja
Kerberos-verificatie Nr. Ja Ja Ja
Deelbare koppeling Nee No Ja Ja
Verbinding maken met VM's via IP-adres Nee No Ja Ja
VM-audio-uitvoer Ja Ja Ja Ja
Kopiëren/plakken uitschakelen (webclients) Nee No Ja Ja
Sessie-opname Nee Nee No Ja
Alleen-privé-implementatie Nee Nee No Ja

Ontwikkelaars-SKU

De Bastion Developer SKU is een gratis, lichtgewicht SKU. Deze SKU is ideaal voor Dev/Test-gebruikers die veilig verbinding willen maken met hun VM's, maar geen extra Bastion-functies of hostschalen nodig hebben. Met de ontwikkelaars-SKU kunt u rechtstreeks via de pagina verbinding maken met één Virtuele Azure-machine tegelijk.

Wanneer u Bastion implementeert met behulp van de ontwikkelaars-SKU, zijn de implementatievereisten anders dan wanneer u implementeert met behulp van andere SKU's. Wanneer u een bastionhost maakt, wordt een host doorgaans geïmplementeerd in het AzureBastionSubnet in uw virtuele netwerk. De Bastion-host is toegewezen voor uw gebruik. Wanneer u de Developer-SKU gebruikt, wordt een bastionhost niet geïmplementeerd in uw virtuele netwerk en hebt u geen AzureBastionSubnet nodig. De bastionhost voor de ontwikkelaars-SKU is echter geen toegewezen resource. In plaats daarvan maakt het deel uit van een gedeelde pool.

Omdat de bastionresource developer-SKU niet is toegewezen, zijn de functies voor de ontwikkelaars-SKU beperkt. Zie de sectie Bastion-configuratie-instellingen SKU voor functies die worden vermeld door SKU. U kunt de developer-SKU altijd upgraden naar een hogere SKU als u meer functies wilt ondersteunen. Zie Een SKU upgraden.

De ontwikkelaars-SKU is momenteel beschikbaar in de volgende regio's:

  • VS - centraal EUAP
  • VS - oost 2 EUAP
  • VS - west-centraal
  • VS - noord-centraal
  • VS - west
  • Europa - noord

Notitie

VNet-peering wordt momenteel niet ondersteund voor de ontwikkelaars-SKU.

Premium SKU

De Premium-SKU is een nieuwe SKU die ondersteuning biedt voor Bastion-functies zoals Sessieopname en Alleen-privé bastion. Wanneer u Bastion implementeert, wordt u aangeraden de Premium-SKU alleen te selecteren als u de functies nodig hebt die worden ondersteund.

SKU opgeven

Wijze SKU-waarde Koppelingen
Azure Portal Laag - Ontwikkelaar Snelstartgids
Azure Portal Laag - Basic Snelstartgids
Azure Portal Laag - Basic of hoger Zelfstudie
Azure PowerShell Laag - Basic of hoger Ondersteuning
Azure-CLI Laag - Basic of hoger Ondersteuning

Een SKU upgraden

U kunt altijd een SKU upgraden om meer functies toe te voegen. Zie Een SKU upgraden voor meer informatie.

Notitie

Het downgraden van een SKU wordt niet ondersteund. Als u een downgrade wilt uitvoeren, moet u Azure Bastion verwijderen en opnieuw maken.

Azure Bastion-subnet

Belangrijk

Voor Azure Bastion-resources die zijn geïmplementeerd op of na 2 november 2021, is de minimale grootte van AzureBastionSubnet /26 of groter (/25, /24, enzovoort). Alle Azure Bastion-resources die zijn geïmplementeerd in subnetten van grootte /27 vóór deze datum, worden niet beïnvloed door deze wijziging en blijven werken, maar we raden u ten zeerste aan om de grootte van bestaande AzureBastionSubnet te vergroten naar /26 voor het geval u ervoor kiest om in de toekomst te profiteren van het schalen van hosts.

Wanneer u Azure Bastion implementeert met behulp van een SKU behalve de developer-SKU, vereist Bastion een toegewezen subnet met de naam AzureBastionSubnet. U moet dit subnet maken in hetzelfde virtuele netwerk waarnaar u Azure Bastion wilt implementeren. Het subnet moet de volgende configuratie hebben:

  • Subnetnaam moet AzureBastionSubnet zijn.
  • Subnetgrootte moet /26 of groter zijn (/25, /24 enzovoort).
  • Voor het schalen van de host wordt een /26 of groter subnet aanbevolen. Het gebruik van een kleinere subnetruimte beperkt het aantal schaaleenheden. Zie de sectie Host schalen van dit artikel voor meer informatie.
  • Het subnet moet zich in hetzelfde virtuele netwerk en dezelfde resourcegroep bevinden als de bastionhost.
  • Het subnet kan geen andere resources bevatten.

U kunt deze instelling configureren met behulp van de volgende methoden:

Wijze Weergegeven als Koppelingen
Azure Portal Subnet Snelstartgids
Zelfstudie
Azure PowerShell -subnetName cmdlet
Azure-CLI --subnetnaam bevelen

Openbaar IP-adres

Azure Bastion-implementaties, met uitzondering van ontwikkelaars-SKU en alleen privé, vereisen een openbaar IP-adres. Het openbare IP-adres moet de volgende configuratie hebben:

  • De openbare IP-adres-SKU moet standaard zijn.
  • De toewijzing/toewijzingsmethode van het openbare IP-adres moet statisch zijn.
  • De naam van het openbare IP-adres is de resourcenaam waarmee u naar dit openbare IP-adres wilt verwijzen.
  • U kunt ervoor kiezen om een openbaar IP-adres te gebruiken dat u al hebt gemaakt, zolang het voldoet aan de criteria die vereist zijn voor Azure Bastion en nog niet in gebruik is.

U kunt deze instelling configureren met behulp van de volgende methoden:

Wijze Weergegeven als Koppelingen
Azure Portal Openbaar IP-adres Azure-portal
Azure PowerShell -PublicIpAddress cmdlet
Azure-CLI --public-ip create bevelen

Instanties en hostschalen

Een exemplaar is een geoptimaliseerde Azure-VM die wordt gemaakt wanneer u Azure Bastion configureert. Het wordt volledig beheerd door Azure en voert alle processen uit die nodig zijn voor Azure Bastion. Een exemplaar wordt ook wel een schaaleenheid genoemd. U maakt verbinding met client-VM's via een Azure Bastion-exemplaar. Wanneer u Azure Bastion configureert met behulp van de Basic SKU, worden er twee exemplaren gemaakt. Als u de Standard-SKU of hoger gebruikt, kunt u het aantal exemplaren opgeven (met minimaal twee exemplaren). Dit wordt hostschalen genoemd.

Elk exemplaar kan ondersteuning bieden voor 20 gelijktijdige RDP-verbindingen en 40 gelijktijdige SSH-verbindingen voor middelgrote workloads (zie Limieten en quota voor Azure-abonnementen voor meer informatie). Het aantal verbindingen per instantie is afhankelijk van de acties die u uitvoert wanneer u verbinding maakt met de client-VM. Als u bijvoorbeeld iets gegevensintensief doet, wordt er een grotere belasting gemaakt voor het exemplaar dat moet worden verwerkt. Zodra de gelijktijdige sessies zijn overschreden, is een andere schaaleenheid (instantie) vereist.

Exemplaren worden gemaakt in het AzureBastionSubnet. Als u het schalen van de host wilt toestaan, moet het AzureBastionSubnet /26 of groter zijn. Als u een kleiner subnet gebruikt, beperkt u het aantal exemplaren dat u kunt maken. Zie de sectie subnetten in dit artikel voor meer informatie over het AzureBastionSubnet.

U kunt deze instelling configureren met behulp van de volgende methoden:

Wijze Weergegeven als Koppelingen Vereist standard-SKU of hoger
Azure Portal Aantal exemplaren Ondersteuning Ja
Azure PowerShell ScaleUnit Ondersteuning Ja

Aangepaste poorten

U kunt de poort opgeven die u wilt gebruiken om verbinding te maken met uw VM's. Standaard zijn de binnenkomende poorten die worden gebruikt om verbinding te maken 3389 voor RDP en 22 voor SSH. Als u een aangepaste poortwaarde configureert, geeft u die waarde op wanneer u verbinding maakt met de virtuele machine.

Aangepaste poortwaarden worden alleen ondersteund voor de Standard-SKU of hoger.

Met de functie Bastion Shareable Link kunnen gebruikers verbinding maken met een doelresource met behulp van Azure Bastion zonder toegang te krijgen tot Azure Portal.

Wanneer een gebruiker zonder Azure-referenties op een deelbare koppeling klikt, wordt er een webpagina geopend waarin de gebruiker wordt gevraagd zich via RDP of SSH aan te melden bij de doelresource. Gebruikers verifiëren met een gebruikersnaam en wachtwoord of persoonlijke sleutel, afhankelijk van wat u hebt geconfigureerd in Azure Portal voor die doelresource. Gebruikers kunnen verbinding maken met dezelfde resources waarmee u momenteel verbinding kunt maken met Azure Bastion: VM's of virtuele-machineschaalsets.

Wijze Weergegeven als Koppelingen Vereist standard-SKU of hoger
Azure Portal Deelbare koppeling Configureerer Ja

Alleen-privé-implementatie

Privé-only Bastion-implementaties vergrendelen workloads end-to-end door een niet-internetrouteerbare implementatie van Bastion te maken die alleen toegang tot privé-IP-adressen toestaat. Bastion-implementaties met alleen privétoegang staan geen verbindingen met de bastionhost toe via een openbaar IP-adres. Met een reguliere Azure Bastion-implementatie kunnen gebruikers echter verbinding maken met de bastionhost met behulp van een openbaar IP-adres. Zie Bastion implementeren als alleen-privé voor meer informatie.

Sessie-opname

Wanneer de functie opname van Azure Bastion-sessies is ingeschakeld, kunt u de grafische sessies opnemen voor verbindingen die zijn gemaakt met virtuele machines (RDP en SSH) via de bastionhost. Nadat de sessie is gesloten of de verbinding is verbroken, worden opgenomen sessies opgeslagen in een blobcontainer binnen uw opslagaccount (via SAS-URL). Wanneer de verbinding met een sessie is verbroken, kunt u uw opgenomen sessies openen en weergeven in Azure Portal op de pagina Sessieopname. Voor sessieopname is de Bastion Premium-SKU vereist. Zie De opname van Bastion-sessies voor meer informatie.

Beschikbaarheidszones

Sommige regio's ondersteunen de mogelijkheid om Azure Bastion te implementeren in een beschikbaarheidszone (of meerdere, voor zoneredundantie). Als u Bastion wilt implementeren met behulp van handmatig opgegeven instellingen (niet implementeren met behulp van de automatische standaardinstellingen). Geef de gewenste beschikbaarheidszones op het moment van de implementatie op. U kunt de zonegebonden beschikbaarheid niet wijzigen nadat Bastion is geïmplementeerd.

Ondersteuning voor Beschikbaarheidszones is momenteel beschikbaar als preview-versie. Tijdens de preview zijn de volgende regio's beschikbaar:

  • VS - oost
  • Australië - oost
  • VS - oost 2
  • Central US
  • Qatar - centraal
  • Zuid-Afrika - noord
  • Europa -west
  • VS - west 2
  • Europa - noord
  • Zweden - centraal
  • Verenigd Koninkrijk Zuid
  • Canada - midden

Volgende stappen

Zie de veelgestelde vragen over Azure Bastion voor veelgestelde vragen.