Udostępnij za pośrednictwem


Azure Bastion — często zadawane pytania

Usługa Bastion i wdrażanie — często zadawane pytania

Jakie przeglądarki są obsługiwane?

Przeglądarka musi obsługiwać kod HTML 5. Korzystaj z przeglądarki Microsoft Edge lub Google Chrome w systemie Windows. W komputerze Apple Mac korzystaj z przeglądarki Google Chrome. Przeglądarka Microsoft Edge Chromium jest też obsługiwana odpowiednio w systemach Windows i komputerach Mac.

Jak działa cennik?

Cennik usługi Azure Bastion to połączenie cen godzinowych opartych na jednostkach SKU i wystąpieniach (jednostkach skalowania) oraz stawkach transferu danych. Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać najnowsze informacje o cenach, zobacz stronę cennika usługi Azure Bastion.

Czy protokół IPv6 jest obsługiwany?

Obecnie protokół IPv6 nie jest obsługiwany. Usługa Azure Bastion obsługuje tylko protokół IPv4. Oznacza to, że można przypisać tylko publiczny adres IP IPv4 do zasobu usługi Bastion i za pomocą usługi Bastion połączyć się z docelowymi maszynami wirtualnymi IPv4. Możesz również użyć usługi Bastion do nawiązania połączenia z maszynami wirtualnymi docelowymi z podwójnym stosem, ale będzie można wysyłać i odbierać ruch IPv4 za pośrednictwem usługi Azure Bastion.

Gdzie usługa Azure Bastion przechowuje dane klientów?

Usługa Azure Bastion nie przenosi ani nie przechowuje danych klientów z regionu, w którym jest wdrażany.

Czy usługa Azure Bastion obsługuje strefy dostępności?

Aby uzyskać informacje na temat obsługi stref dostępności w usłudze Azure Bastion, zobacz Niezawodność w usłudze Azure Bastion.

Czy usługa Azure Bastion obsługuje wirtualną sieć WAN?

Tak, możesz użyć usługi Azure Bastion dla wdrożeń usługi Virtual WAN. Jednak wdrażanie usługi Azure Bastion w koncentratorze usługi Virtual WAN nie jest obsługiwane. Usługę Azure Bastion można wdrożyć w sieci wirtualnej będącej szprychą i użyć funkcji połączenia opartego na protokole IP, aby nawiązać połączenie z maszynami wirtualnymi wdrożonym w innej sieci wirtualnej za pośrednictwem koncentratora usługi Virtual WAN. Jeśli koncentrator usługi Azure Virtual WAN zostanie zintegrowany z usługą Azure Firewall jako zabezpieczony koncentrator wirtualny, podsieć AzureBastionSubnet musi znajdować się w sieci wirtualnej, w której domyślna propagacja tras 0.0.0.0/0 jest wyłączona na poziomie połączenia sieci wirtualnej.

Czy mogę użyć usługi Azure Bastion, jeśli wymuszam tunelowanie ruchu internetowego z powrotem do mojej lokalizacji lokalnej?

Nie, jeśli anonsujesz trasę domyślną (0.0.0.0/0) za pośrednictwem usługi ExpressRoute lub sieci VPN, a ta trasa jest wprowadzana do sieci wirtualnych, spowoduje to przerwanie usługi Azure Bastion.

Usługa Azure Bastion musi mieć możliwość komunikowania się z określonymi wewnętrznymi punktami końcowymi, aby pomyślnie nawiązać połączenie z zasobami docelowymi. W związku z tym możesz użyć usługi Azure Bastion z usługą Azure Prywatna strefa DNS Zones, o ile wybrana nazwa strefy nie nakłada się na nazewnictwo tych wewnętrznych punktów końcowych. Przed wdrożeniem zasobu usługi Azure Bastion upewnij się, że sieć wirtualna hosta nie jest połączona z prywatną strefą DNS o następujących dokładnych nazwach:

  • management.azure.com
  • blob.core.windows.net
  • core.windows.net
  • vaultcore.windows.net
  • vault.azure.net
  • azure.com

Możesz użyć prywatnej strefy DNS kończącej się jedną z nazw na poprzedniej liście (np. privatelink.blob.core.windows.net).

Usługa Azure Bastion nie jest obsługiwana w przypadku stref usługi Azure Prywatna strefa DNS w chmurach krajowych.

Moja privatelink.azure.com nie może rozwiązać problemu z management.privatelink.azure.com

Może to być spowodowane prywatną strefą DNS dla privatelink.azure.com połączoną z siecią wirtualną bastionu, co powoduje, że management.azure.com sieci CAME rozpoznawane jako management.privatelink.azure.com za kulisami. Utwórz rekord CNAME w strefie privatelink.azure.com dla management.privatelink.azure.com, aby arm-frontdoor-prod.trafficmanager.net umożliwić pomyślne rozpoznawanie nazw DNS.

Czy usługa Azure Bastion obsługuje usługę Private Link?

Nie, usługa Azure Bastion nie obsługuje obecnie usługi Azure Private Link.

Dlaczego otrzymuję błąd "Nie można dodać podsieci" podczas korzystania z usługi "Deploy Bastion" w portalu?

W tej chwili w przypadku większości przestrzeni adresowych należy dodać podsieć o nazwie AzureBastionSubnet do sieci wirtualnej przed wybraniem pozycji Wdróż usługę Bastion.

Czy do wdrożenia usługi Bastion w podsieci AzureBastionSubnet są wymagane specjalne uprawnienia?

Aby wdrożyć usługę Bastion w podsieci AzureBastionSubnet, wymagane są uprawnienia do zapisu. Przykład: Microsoft.Network/virtualNetworks/write.

Czy mogę mieć podsieć usługi Azure Bastion o rozmiarze /27 lub mniejszym (/28, /29 itp.)?

W przypadku zasobów usługi Azure Bastion wdrożonych w dniu 2 listopada 2021 r. minimalny rozmiar usługi AzureBastionSubnet to /26 lub większy (/25, /24 itp.). Wszystkie zasoby usługi Azure Bastion wdrożone w podsieciach o rozmiarze /27 przed tą datą nie mają wpływu na tę zmianę i będą nadal działać. Jednak zdecydowanie zalecamy zwiększenie rozmiaru dowolnej istniejącej podsieci AzureBastionSubnet do /26, jeśli zdecydujesz się skorzystać ze skalowania hostów w przyszłości.

Czy mogę wdrożyć wiele zasobów platformy Azure w podsieci usługi Azure Bastion?

L.p. Podsieć usługi Azure Bastion (AzureBastionSubnet) jest zarezerwowana tylko dla wdrożenia zasobu usługi Azure Bastion.

Czy routing zdefiniowany przez użytkownika (UDR) jest obsługiwany w podsieci usługi Azure Bastion?

L.p. Trasa zdefiniowana przez użytkownika nie jest obsługiwana w podsieci usługi Azure Bastion.

W przypadku scenariuszy obejmujących zarówno usługę Azure Bastion, jak i usługę Azure Firewall/wirtualne urządzenie sieciowe (WUS) w tej samej sieci wirtualnej, nie musisz wymuszać ruchu z podsieci usługi Azure Bastion do usługi Azure Firewall, ponieważ komunikacja między usługą Azure Bastion a maszynami wirtualnymi jest prywatna. Aby uzyskać więcej informacji, zobacz Uzyskiwanie dostępu do maszyn wirtualnych za usługą Azure Firewall przy użyciu usługi Bastion.

Jakiej jednostki SKU należy używać?

Usługa Azure Bastion ma wiele jednostek SKU. Należy wybrać jednostkę SKU na podstawie wymagań dotyczących połączenia i funkcji. Aby uzyskać pełną listę warstw jednostki SKU i obsługiwanych połączeń i funkcji, zobacz artykuł Ustawienia konfiguracji.

Czy mogę uaktualnić jednostkę SKU?

Tak. Aby uzyskać instrukcje, zobacz Uaktualnianie jednostki SKU. Aby uzyskać więcej informacji na temat jednostek SKU, zobacz artykuł Ustawienia konfiguracji.

Czy mogę obniżyć jednostki SKU?

L.p. Obniżenie poziomu jednostki SKU nie jest obsługiwane. Aby uzyskać więcej informacji na temat jednostek SKU, zobacz artykuł Ustawienia konfiguracji.

Czy usługa Bastion obsługuje łączność z usługą Azure Virtual Desktop?

Nie, łączność usługi Bastion z usługą Azure Virtual Desktop nie jest obsługiwana.

Jak można naprawiać błędy wdrażania?

Przejrzyj wszelkie komunikaty o błędach i w razie potrzeby zgłoś wniosek o pomoc techniczną w witrynie Azure Portal . Błędy wdrażania mogą wynikać z limitów, przydziałów i ograniczeń subskrypcji platformy Azure. W szczególności klienci mogą napotkać limit liczby publicznych adresów IP dozwolonych dla subskrypcji, co powoduje niepowodzenie wdrożenia usługi Azure Bastion.

Czy usługa Bastion obsługuje przenoszenie sieci wirtualnej do innej grupy zasobów?

L.p. Jeśli przeniesiesz sieć wirtualną do innej grupy zasobów (nawet jeśli znajduje się ona w tej samej subskrypcji), musisz najpierw usunąć usługę Bastion z sieci wirtualnej, a następnie przejść do przeniesienia sieci wirtualnej do nowej grupy zasobów. Gdy sieć wirtualna znajduje się w nowej grupie zasobów, możesz wdrożyć usługę Bastion w sieci wirtualnej.

Czy usługa Bastion obsługuje konta gości Microsoft Entra?

Tak, konta gości Microsoft Entra mogą mieć dostęp do usługi Bastion i mogą łączyć się z maszynami wirtualnymi. Jednak użytkownicy-goście firmy Microsoft Entra nie mogą łączyć się z maszynami wirtualnymi platformy Azure za pośrednictwem uwierzytelniania firmy Microsoft Entra. Użytkownicy niebędący gośćmi są obsługiwani za pośrednictwem uwierzytelniania firmy Microsoft Entra. Aby uzyskać więcej informacji na temat uwierzytelniania entra firmy Microsoft dla maszyn wirtualnych platformy Azure (dla użytkowników innych niż goście), zobacz Logowanie się do maszyny wirtualnej z systemem Windows na platformie Azure przy użyciu identyfikatora Microsoft Entra ID.

Nie, domeny niestandardowe nie są obsługiwane za pomocą linków do udostępniania usługi Bastion. Użytkownicy otrzymują błąd certyfikatu podczas próby dodania określonych domen w sieci CN/SAN certyfikatu hosta usługi Bastion.

Połączenie maszyny wirtualnej i dostępne funkcje — często zadawane pytania

Czy jakiekolwiek role są wymagane do uzyskania dostępu do maszyny wirtualnej?

Aby nawiązać połączenie, wymagane są następujące role:

  • Rola czytelnika na maszynie wirtualnej.
  • Rola czytelnika na karcie sieciowej z prywatnym adresem IP maszyny wirtualnej.
  • Rola czytelnika w zasobie usługi Azure Bastion.
  • Rola czytelnika w sieci wirtualnej docelowej maszyny wirtualnej (jeśli wdrożenie usługi Bastion znajduje się w równorzędnej sieci wirtualnej).

Ponadto użytkownik musi mieć uprawnienia (jeśli jest to wymagane), aby nawiązać połączenie z maszyną wirtualną. Jeśli na przykład użytkownik łączy się z maszyną wirtualną z systemem Windows za pośrednictwem protokołu RDP i nie jest członkiem lokalnej grupy Administratorzy, musi być członkiem grupy Użytkownicy pulpitu zdalnego.

Dlaczego przed rozpoczęciem sesji usługi Bastion jest wyświetlany komunikat o błędzie "Twoja sesja wygasła"?

Jeśli przejdziesz do adresu URL bezpośrednio z innej sesji lub karty przeglądarki, ten błąd jest oczekiwany. Pomaga to zagwarantować, że sesja jest bezpieczniejsza i że dostęp do sesji można uzyskać tylko za pośrednictwem witryny Azure Portal. Zaloguj się do witryny Azure Portal i ponownie rozpocznij sesję.

Czy potrzebuję publicznego adresu IP na mojej maszynie wirtualnej, aby nawiązać połączenie za pośrednictwem usługi Azure Bastion?

L.p. Podczas nawiązywania połączenia z maszyną wirtualną przy użyciu usługi Azure Bastion nie potrzebujesz publicznego adresu IP na maszynie wirtualnej platformy Azure, z którą nawiązujesz połączenie. Usługa Bastion otwiera sesję RDP/SSH/połączenie z maszyną wirtualną za pośrednictwem prywatnego adresu IP maszyny wirtualnej w sieci wirtualnej.

Czy muszę mieć klienta RDP lub SSH?

L.p. Dostęp do maszyny wirtualnej można uzyskać w witrynie Azure Portal przy użyciu przeglądarki. Aby uzyskać dostępne połączenia i metody, zobacz About VM connections and features (Informacje o połączeniach i funkcjach maszyn wirtualnych).

Czy użytkownicy potrzebują określonych praw na docelowej maszynie wirtualnej dla połączeń RDP?

Gdy użytkownik nawiązuje połączenie z maszyną wirtualną z systemem Windows za pośrednictwem protokołu RDP, musi mieć prawa do docelowej maszyny wirtualnej. Jeśli użytkownik nie jest administratorem lokalnym, dodaj użytkownika do grupy Użytkownicy pulpitu zdalnego na docelowej maszynie wirtualnej.

Czy mogę nawiązać połączenie z maszyną wirtualną przy użyciu klienta natywnego?

Tak. Połączenie z maszyną wirtualną można nawiązać z komputera lokalnego przy użyciu klienta natywnego. Zobacz Nawiązywanie połączenia z maszyną wirtualną przy użyciu klienta natywnego.

Czy na maszynie wirtualnej platformy Azure muszę mieć agenta?

L.p. Nie musisz instalować agenta ani żadnego oprogramowania w przeglądarce ani maszynie wirtualnej platformy Azure. Usługa Bastion jest bez agenta i nie wymaga żadnego dodatkowego oprogramowania dla protokołu RDP/SSH.

Jakie funkcje są obsługiwane w przypadku sesji maszyn wirtualnych?

Zobacz Informacje o połączeniach i funkcjach maszyn wirtualnych, aby uzyskać informacje o obsługiwanych funkcjach.

L.p. Niektóre organizacje mają zasady firmy, które wymagają zresetowania hasła, gdy użytkownik loguje się do konta lokalnego po raz pierwszy. W przypadku korzystania z linków udostępnionych użytkownik nie może zmienić hasła, mimo że może zostać wyświetlony przycisk "Resetuj hasło".

Czy zdalny dźwięk jest dostępny dla maszyn wirtualnych?

Tak. Zobacz Informacje o połączeniach i funkcjach maszyn wirtualnych.

Czy usługa Azure Bastion obsługuje transfer plików?

Usługa Azure Bastion oferuje obsługę transferu plików między docelową maszyną wirtualną a komputerem lokalnym przy użyciu usługi Bastion i natywnego klienta RDP lub SSH. Obecnie nie można przekazywać ani pobierać plików przy użyciu programu PowerShell ani witryny Azure Portal. Aby uzyskać więcej informacji, zobacz Przekazywanie i pobieranie plików przy użyciu klienta natywnego.

Czy usługa Bastion działa z maszynami wirtualnymi dołączonymi do rozszerzenia Entra ID?

Usługa Bastion współpracuje z maszynami wirtualnymi dołączonymi do rozszerzenia Entra ID dla użytkowników firmy Microsoft Entra z protokołem RDP i SSH na kliencie natywnym oraz protokołem SSH tylko w portalu. Identyfikator entra dla protokołu RDP w portalu nie jest jeszcze obsługiwany. Aby uzyskać więcej informacji, zobacz Logowanie się do maszyny wirtualnej z systemem Windows na platformie Azure przy użyciu identyfikatora Microsoft Entra.

Czy usługa Bastion jest zgodna z maszynami wirtualnymi skonfigurowanymi jako hosty sesji usług pulpitu zdalnego?

Usługa Bastion nie obsługuje nawiązywania połączenia z maszyną wirtualną skonfigurowaną jako host sesji usług pulpitu zdalnego.

Które układy klawiatury są obsługiwane podczas sesji zdalnej usługi Bastion?

Usługa Azure Bastion obecnie obsługuje następujące układy klawiatury wewnątrz maszyny wirtualnej:

  • en-us-qwerty
  • en-gb-qwerty
  • de-ch-qwertz
  • de-de-qwertz
  • fr-be-azerty
  • fr-fr-azerty
  • fr-ch-qwertz
  • hu-hu-qwertz
  • it-it-qwerty
  • ja-jp-qwerty
  • pt-br-qwerty
  • es-es-qwerty
  • es-latam-qwerty
  • sv-se-qwerty
  • tr-tr-qwerty

Aby ustanowić poprawne mapowania dla języka docelowego, należy ustawić układ klawiatury na komputerze lokalnym na język docelowy i układ klawiatury wewnątrz docelowej maszyny wirtualnej na język docelowy. Obie klawiatury muszą być ustawione na język docelowy, aby ustanowić poprawne mapowania wewnątrz docelowej maszyny wirtualnej.

Aby ustawić język docelowy jako układ klawiatury na stacji roboczej z systemem Windows, przejdź do pozycji Ustawienia > Czas i język > i region. W obszarze "Preferowane języki" wybierz pozycję "Dodaj język" i dodaj język docelowy. Następnie będzie można zobaczyć układy klawiatury na pasku narzędzi. Aby ustawić język angielski (Stany Zjednoczone) jako układ klawiatury, wybierz pozycję "ENG" na pasku narzędzi lub kliknij pozycję Windows + Spacja, aby otworzyć układy klawiatury.

Czy istnieje rozwiązanie klawiatury do przełączania fokusu między maszyną wirtualną a przeglądarką?

Użytkownicy mogą używać "Ctrl+Shift+Alt", aby skutecznie przełączać fokus między maszyną wirtualną a przeglądarką.

Jak mogę odzyskać fokus klawiatury lub myszy z wystąpienia?

Kliknij dwukrotnie klucz systemu Windows z rzędu, aby przywrócić fokus w oknie bastionu.

Jaka jest maksymalna rozdzielczość ekranu obsługiwana za pośrednictwem usługi Bastion?

Obecnie 1920x1080 (1080p) to maksymalna obsługiwana rozdzielczość.

Czy usługa Azure Bastion obsługuje konfigurację strefy czasowej lub przekierowywanie strefy czasowej dla docelowych maszyn wirtualnych?

Usługa Azure Bastion obecnie nie obsługuje przekierowywania strefy czasowej i nie można konfigurować strefy czasowej. Ustawienia strefy czasowej maszyny wirtualnej można ręcznie zaktualizować po pomyślnym nawiązaniu połączenia z systemem operacyjnym gościa.

Czy istniejąca sesja zostanie rozłączona podczas konserwacji na hoście usługi Bastion?

Tak, istniejące sesje w docelowym zasobie usługi Bastion zostaną rozłączone podczas konserwacji zasobu usługi Bastion.

Nawiążę połączenie z maszyną wirtualną przy użyciu zasad JIT, czy potrzebuję dodatkowych uprawnień?

Jeśli użytkownik łączy się z maszyną wirtualną przy użyciu zasad JIT, nie ma dodatkowych uprawnień. Aby uzyskać więcej informacji na temat nawiązywania połączenia z maszyną wirtualną przy użyciu zasad JIT, zobacz Włączanie dostępu just in time na maszynach wirtualnych.

Często zadawane pytania na temat komunikacji równorzędnej sieci wirtualnych

Czy nadal można wdrożyć wiele hostów usługi Bastion w równorzędnych sieciach wirtualnych?

Tak. Domyślnie użytkownik widzi hosta usługi Bastion wdrożonego w tej samej sieci wirtualnej, w której znajduje się maszyna wirtualna. Jednak w menu Połącz użytkownik może zobaczyć wiele hostów usługi Bastion wykrytych w sieciach równorzędnych. Mogą wybrać hosta usługi Bastion, którego wolą używać do nawiązywania połączenia z maszyną wirtualną wdrożona w sieci wirtualnej.

Jeśli moje równorzędne sieci wirtualne są wdrażane w różnych subskrypcjach, łączność za pośrednictwem usługi Bastion będzie działać?

Tak, łączność za pośrednictwem usługi Bastion będzie nadal działać w przypadku równorzędnych sieci wirtualnych w różnych subskrypcjach dla jednej dzierżawy. Subskrypcje w dwóch różnych dzierżawach nie są obsługiwane. Aby wyświetlić usługę Bastion w menu rozwijanym Połącz, użytkownik musi wybrać podsieci, do których mają dostęp w subskrypcji globalnej subskrypcji subskrypcji>.

Filtr globalnych subskrypcji.

Mam dostęp do równorzędnej sieci wirtualnej, ale nie widzę wdrożonej tam maszyny wirtualnej.

Upewnij się, że użytkownik ma dostęp do odczytu zarówno do maszyny wirtualnej, jak i równorzędnej sieci wirtualnej. Ponadto sprawdź w obszarze Zarządzanie dostępem i tożsamościami, do których użytkownik ma dostęp do odczytu do następujących zasobów:

  • Rola czytelnika na maszynie wirtualnej.
  • Rola czytelnika na karcie sieciowej z prywatnym adresem IP maszyny wirtualnej.
  • Rola czytelnika w zasobie usługi Azure Bastion.
  • Rola czytelnika w sieci wirtualnej (nie jest wymagana, jeśli nie istnieje równorzędna sieć wirtualna).
Uprawnienia opis Typ uprawnienia
Microsoft.Network/bastionHosts/read Pobiera hosta usługi Bastion Akcja
Microsoft.Network/virtualNetworks/BastionHosts/action Pobiera odwołania do hosta usługi Bastion w sieci wirtualnej. Akcja
Microsoft.Network/virtualNetworks/bastionHosts/default/action Pobiera odwołania do hosta usługi Bastion w sieci wirtualnej. Akcja
Microsoft.Network/networkInterfaces/read Pobiera definicję interfejsu sieciowego. Akcja
Microsoft.Network/networkInterfaces/ipconfigurations/read Pobiera definicję konfiguracji adresu IP interfejsu sieciowego. Akcja
Microsoft.Network/virtualNetworks/read Pobieranie definicji sieci wirtualnej Akcja
Microsoft.Network/virtualNetworks/subnets/virtualMachines/read Pobiera odwołania do wszystkich maszyn wirtualnych w podsieci sieci wirtualnej Akcja
Microsoft.Network/virtualNetworks/virtualMachines/read Pobiera odwołania do wszystkich maszyn wirtualnych w sieci wirtualnej Akcja

Następne kroki

Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Bastion.