Delen via


Over De configuratie-instellingen van Bastion

In de secties in dit artikel worden de resources en instellingen voor Azure Bastion besproken.

SKU's

Een SKU wordt ook wel een niveau genoemd. Azure Bastion ondersteunt meerdere SKU-lagen. Wanneer u Bastion configureert, selecteert u de SKU-laag. U bepaalt de SKU-laag op basis van de functies die u wilt gebruiken. In de volgende tabel ziet u de beschikbaarheid van functies per bijbehorende SKU.

Kenmerk Basis-SKU Standaard SKU Premium SKU
Verbinding maken met doel-VM's in hetzelfde virtuele netwerk Ja Ja Ja
Verbinding maken met doel-VM's in gekoppelde virtuele netwerken Ja Ja Ja
Ondersteuning voor gelijktijdige verbindingen Ja Ja Ja
Toegang tot persoonlijke linux-VM-sleutels in Azure Key Vault (AKV) Ja Ja Ja
Verbinding maken met linux-VM met behulp van SSH Ja Ja Ja
Verbinding maken met windows-VM met behulp van RDP Ja Ja Ja
Verbinding maken met linux-VM met behulp van RDP Nee Ja Ja
Verbinding maken met windows-VM met behulp van SSH Nee Ja Ja
Aangepaste binnenkomende poort opgeven Nee Ja Ja
Verbinding maken met VM's met behulp van Azure CLI Nee Ja Ja
Schaalbaarheid van de host Nee Ja Ja
Bestanden uploaden of downloaden Nee Ja Ja
Kerberos-verificatie Ja Ja Ja
Deelbare koppeling Nee Ja Ja
Verbinding maken met VM's via IP-adres Nee Ja Ja
VM-audio-uitvoer Ja Ja Ja
Kopiëren/plakken uitschakelen (webgebaseerde clients) Nee Ja Ja
Sessie-opname Nee Nee Ja
Alleen-privé-implementatie Nee Nee Ja

Bastion Ontwikkelaar

Bastion Developer is een gratis, lichtgewicht aanbieding van de Azure Bastion-service. Deze aanbieding is ideaal voor Dev/Test-gebruikers die veilig verbinding willen maken met hun VM's, maar geen extra Bastion-functies of hostschalen nodig hebben. Met Bastion Developer kunt u rechtstreeks via de verbindingspagina van de virtuele machine verbinding maken met één Azure-VM tegelijk.

Wanneer u verbinding maakt met Bastion Developer, zijn de implementatievereisten anders dan wanneer u implementeert met andere SKU's. Wanneer u een bastionhost maakt, wordt een host doorgaans geïmplementeerd in het AzureBastionSubnet in uw virtuele netwerk. De Bastion-host is toegewezen voor uw gebruik, terwijl Bastion Developer dat niet is. Omdat de Bastion Developer-resource niet is toegewezen, zijn de functies voor Bastion Developer beperkt. U kunt Bastion Developer altijd upgraden naar een specifieke SKU als u meer functies wilt ondersteunen. Zie Een SKU upgraden.

Bastion Developer is momenteel beschikbaar in de volgende regio's:

  • Centraal Australië
  • Australië - oost
  • Australië Zuidoost
  • Brazilië Zuid
  • Canada Centraal
  • Canada Oost
  • Centraal-India
  • Centraal VS
  • VS - centraal EUAP
  • Oost-Azië
  • East US 2
  • Oost-US 2 EUAP
  • Centraal Frankrijk
  • West-Centraal Duitsland
  • Italië - noord
  • Oost-Japan
  • Japan Westelijk
  • Centraal-Korea
  • Zuid-Korea
  • Centraal-Mexico
  • VS - noord-centraal
  • Europa - noord
  • Noorwegen - oost
  • Centraal Polen
  • Zuid-Afrika - noord
  • Zuid-India
  • Centraal Spanje
  • Zuidoost-Azië
  • Zweden - centraal
  • Zwitserland - noord
  • VAE Noord
  • Verenigd Koninkrijk Zuid
  • West van het Verenigd Koninkrijk
  • West-Europa
  • West-USA
  • West-Centraal VS

Notitie

VNet-peering wordt momenteel niet ondersteund voor Bastion Developer.

Premium productnummer

De Premium-SKU is een nieuwe SKU die ondersteuning biedt voor Bastion-functies zoals Sessieopname en Alleen-privé bastion. Wanneer u Bastion implementeert, wordt u aangeraden de Premium-SKU alleen te selecteren als u de functies nodig hebt die worden ondersteund.

SKU opgeven

Wijze SKU-waarde Koppelingen
Azure Portal Niveau - Ontwikkelaar Snelstart
Azure Portal Niveau - Standaard Snelstart
Azure Portal Niveau - Basis of hoger Handleiding
Azure PowerShell Niveau - Basis of hoger Handleiding
Azure-CLI Niveau - Basis of hoger Handleiding

Een SKU upgraden

U kunt altijd een SKU upgraden om meer functies toe te voegen. Zie Een SKU upgraden voor meer informatie.

Notitie

Het downgraden van een SKU wordt niet ondersteund. Als u een downgrade wilt uitvoeren, moet u Azure Bastion verwijderen en opnieuw maken.

Azure Bastionsubnet

Belangrijk

Voor Azure Bastion-resources die zijn geïmplementeerd op of na 2 november 2021, is de minimale grootte van AzureBastionSubnet /26 of groter (/25, /24, enzovoort). Alle Azure Bastion-resources die zijn geïmplementeerd in subnetten van grootte /27 vóór deze datum, worden niet beïnvloed door deze wijziging en blijven werken, maar we raden u ten zeerste aan om de grootte van bestaande AzureBastionSubnet te vergroten naar /26 voor het geval u ervoor kiest om in de toekomst te profiteren van het schalen van hosts.

Wanneer u Azure Bastion implementeert met behulp van een SKU behalve de Bastion Developer-aanbieding, is voor Bastion een toegewezen subnet met de naam AzureBastionSubnet vereist. U moet dit subnet maken in hetzelfde virtuele netwerk waarnaar u Azure Bastion wilt implementeren. Het subnet moet de volgende configuratie hebben:

  • Subnetnaam moet AzureBastionSubnet zijn.
  • Subnetgrootte moet /26 of groter zijn (/25, /24 enzovoort).
  • Voor het schalen van de host wordt een /26 of groter subnet aanbevolen. Het gebruik van een kleinere subnetruimte beperkt het aantal schaaleenheden. Zie de sectie Host schalen van dit artikel voor meer informatie.
  • Het subnet moet zich in hetzelfde virtuele netwerk en dezelfde resourcegroep bevinden als de bastionhost.
  • Het subnet kan geen andere resources bevatten.

U kunt deze instelling configureren met behulp van de volgende methoden:

Wijze Waarde Koppelingen
Azure Portal Subnetwerk Snelstart
Handleiding
Azure PowerShell -subnetNaam cmdlet
Azure-CLI --subnetnaam bevelen

Openbaar IP-adres

Voor Azure Bastion-implementaties, met uitzondering van Bastion Developer en Alleen privé, is een openbaar IP-adres vereist. Het openbare IP-adres moet de volgende configuratie hebben:

  • De openbare IP-adres-SKU moet standaard zijn.
  • De toewijzing/toewijzingsmethode van het openbare IP-adres moet statisch zijn.
  • De naam van het openbare IP-adres is de resourcenaam waarmee u naar dit openbare IP-adres wilt verwijzen.
  • U kunt ervoor kiezen om een openbaar IP-adres te gebruiken dat u al hebt gemaakt, zolang het voldoet aan de criteria die vereist zijn voor Azure Bastion en nog niet in gebruik is.

U kunt deze instelling configureren met behulp van de volgende methoden:

Wijze Waarde Koppelingen
Azure Portal Openbaar IP-adres Azure-portal
Azure PowerShell -OpenbaarIpAdres cmdlet
Azure-CLI --public-ip aanmaken bevelen

Instanties en scaling van hosts

Een exemplaar is een geoptimaliseerde Azure-VM die wordt gemaakt wanneer u Azure Bastion configureert. Het wordt volledig beheerd door Azure en voert alle processen uit die nodig zijn voor Azure Bastion. Een exemplaar wordt ook wel een schaaleenheid genoemd. U maakt verbinding met client-VM's via een Azure Bastion-exemplaar. Wanneer u Azure Bastion configureert met behulp van de Basic SKU, worden er twee exemplaren gemaakt. Als u de Standard-SKU of hoger gebruikt, kunt u het aantal exemplaren opgeven (met minimaal twee exemplaren). Dit wordt hostschaling genoemd.

Elk exemplaar kan ondersteuning bieden voor 20 gelijktijdige RDP-verbindingen en 40 gelijktijdige SSH-verbindingen voor middelgrote workloads (zie Limieten en quota voor Azure-abonnementen voor meer informatie). Het aantal verbindingen per instantie is afhankelijk van de acties die u uitvoert wanneer u verbinding maakt met de client-VM. Als u bijvoorbeeld iets gegevensintensiefs doet, zorgt dit voor een grotere belasting voor de instantie om te verwerken. Zodra de gelijktijdige sessies zijn overschreden, is een andere schaaleenheid (instantie) vereist.

Instanties worden gemaakt in de AzureBastionSubnet. Als u het schalen van de host wilt toestaan, moet het AzureBastionSubnet /26 of groter zijn. Als u een kleiner subnet gebruikt, beperkt u het aantal exemplaren dat u kunt maken. Zie de sectie subnetten in dit artikel voor meer informatie over het AzureBastionSubnet.

U kunt deze instelling configureren met behulp van de volgende methoden:

Wijze Waarde Koppelingen Vereist Standard SKU of hoger
Azure Portal Instantieaantal Handleiding Ja
Azure PowerShell ScaleUnit Handleiding Ja

Aangepaste poorten

U kunt de poort opgeven die u wilt gebruiken om verbinding te maken met uw VM's. Standaard zijn de binnenkomende poorten die worden gebruikt om verbinding te maken 3389 voor RDP en 22 voor SSH. Als u een aangepaste poortwaarde configureert, geeft u die waarde op wanneer u verbinding maakt met de virtuele machine.

Aangepaste poortwaarden worden alleen ondersteund voor de Standard-SKU of hoger.

Met de functie Bastion Shareable Link kunnen gebruikers verbinding maken met een doelresource met behulp van Azure Bastion zonder toegang te krijgen tot Azure Portal.

Wanneer een gebruiker zonder Azure-referenties op een deelbare koppeling klikt, wordt er een webpagina geopend waarin de gebruiker wordt gevraagd zich via RDP of SSH aan te melden bij de doelresource. Gebruikers verifiëren met een gebruikersnaam en wachtwoord of persoonlijke sleutel, afhankelijk van wat u hebt geconfigureerd in Azure Portal voor die doelresource. Gebruikers kunnen verbinding maken met dezelfde resources waarmee u momenteel verbinding kunt maken met Azure Bastion: VM's of virtuele machineschaalsets.

Wijze Waarde Koppelingen Vereist Standard SKU of hoger
Azure Portal Deelbare koppeling Configureren Ja

Alleen-privé-implementatie

Privé-only Bastion-implementaties vergrendelen workloads end-to-end door een niet-internetrouteerbare implementatie van Bastion te maken die alleen toegang tot privé-IP-adressen toestaat. Bastion-implementaties met alleen privétoegang staan geen verbindingen met de bastionhost toe via een openbaar IP-adres. Met een reguliere Azure Bastion-implementatie kunnen gebruikers echter verbinding maken met de bastionhost met behulp van een openbaar IP-adres. Voor meer informatie, zie Bastion in de privémodus implementeren.

Sessie-opname

Wanneer de functie opname van Azure Bastion-sessies is ingeschakeld, kunt u de grafische sessies opnemen voor verbindingen die zijn gemaakt met virtuele machines (RDP en SSH) via de bastionhost. Nadat de sessie is gesloten of de verbinding is verbroken, worden opgenomen sessies opgeslagen in een blobcontainer binnen uw opslagaccount (via SAS-URL). Wanneer de verbinding met een sessie is verbroken, kunt u uw opgenomen sessies openen en weergeven in Azure Portal op de pagina Sessieopname. Voor sessieopname is de Bastion Premium-SKU vereist. Zie De opname van Bastion-sessies voor meer informatie.

Beschikbaarheidszones

Sommige regio's ondersteunen de mogelijkheid om Azure Bastion te implementeren in een beschikbaarheidszone (of meerdere, voor zoneredundantie). Om zonegewijs te implementeren, implementeer Bastion met behulp van handmatig opgegeven instellingen (niet implementeren met behulp van de automatische standaardinstellingen). Geef de gewenste beschikbaarheidszones op het moment van de implementatie op. U kunt de zonegebonden beschikbaarheid niet wijzigen nadat Bastion is geïmplementeerd.

Ondersteuning voor Beschikbaarheidszones is momenteel beschikbaar als preview-versie. Tijdens de preview zijn de volgende regio's beschikbaar:

  • Oostelijke VS
  • Australië - oost
  • East US 2
  • Centraal VS
  • Qatar Centraal
  • Zuid-Afrika - noord
  • West-Europa
  • West-US 2
  • Europa - noord
  • Zweden - centraal
  • Verenigd Koninkrijk Zuid
  • Canada Centraal

Volgende stappen

Zie de veelgestelde vragen over Azure Bastion voor veelgestelde vragen.