Udostępnij za pośrednictwem


Azure Bastion — często zadawane pytania

Usługa Bastion i wdrażanie — często zadawane pytania

Jakie przeglądarki są obsługiwane?

Przeglądarka musi obsługiwać kod HTML 5. Korzystaj z przeglądarki Microsoft Edge lub Google Chrome w systemie Windows. W komputerze Apple Mac korzystaj z przeglądarki Google Chrome. Przeglądarka Microsoft Edge Chromium jest też obsługiwana odpowiednio w systemach Windows i komputerach Mac.

Jak działa cennik?

Cennik usługi Azure Bastion to połączenie cen godzinowych opartych na jednostkach SKU i wystąpieniach (jednostkach skalowania) oraz stawkach transferu danych. Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać najnowsze informacje o cenach, zobacz stronę cennika usługi Azure Bastion.

Czy protokół IPv6 jest obsługiwany?

Obecnie protokół IPv6 nie jest obsługiwany. Usługa Azure Bastion obsługuje tylko protokół IPv4. Oznacza to, że można przypisać tylko publiczny adres IP IPv4 do zasobu usługi Bastion i za pomocą usługi Bastion połączyć się z docelowymi maszynami wirtualnymi IPv4. Możesz również użyć usługi Bastion do łączenia się z docelowymi maszynami wirtualnymi z podwójnym stosem, ale możesz wysyłać i odbierać tylko ruch IPv4 za pośrednictwem usługi Azure Bastion.

Gdzie usługa Azure Bastion przechowuje dane klientów?

Usługa Azure Bastion nie przenosi ani nie przechowuje danych klientów z regionu, w którym jest wdrażany.

Czy usługa Azure Bastion obsługuje strefy dostępności?

Aby uzyskać informacje na temat obsługi stref dostępności w usłudze Azure Bastion, zobacz Niezawodność w usłudze Azure Bastion.

Czy usługa Azure Bastion obsługuje wirtualną sieć WAN?

Tak, możesz użyć usługi Azure Bastion dla wdrożeń usługi Virtual WAN. Jednak wdrażanie usługi Azure Bastion w koncentratorze usługi Virtual WAN nie jest obsługiwane. Usługę Azure Bastion można wdrożyć w sieci wirtualnej podporządkowanej i użyć funkcji połączenia opartego na IP, aby nawiązać połączenie z maszynami wirtualnymi wdrożonych w innej sieci wirtualnej poprzez koncentrator usługi Virtual WAN. Jeśli koncentrator usługi Azure Virtual WAN zostanie zintegrowany z usługą Azure Firewall jako zabezpieczony koncentrator wirtualny, sieć podsieci AzureBastionSubnet musi znajdować się w sieci wirtualnej, w której domyślna propagacja tras 0.0.0.0/0 jest wyłączona na poziomie połączenia sieci wirtualnej.

Czy mogę użyć usługi Azure Bastion, jeśli wymuszam tunelowanie ruchu internetowego z powrotem do mojej lokalizacji lokalnej?

Nie, jeśli anonsujesz trasę domyślną (0.0.0.0/0) za pośrednictwem usługi ExpressRoute lub sieci VPN, a ta trasa jest wprowadzana do sieci wirtualnych, spowoduje to przerwanie usługi Azure Bastion.

Usługa Azure Bastion musi mieć możliwość komunikowania się z określonymi wewnętrznymi punktami końcowymi, aby pomyślnie nawiązać połączenie z zasobami docelowymi. W związku z tym możesz użyć usługi Azure Bastion z usługą Azure Prywatne Strefy DNS, o ile wybrana nazwa strefy nie nakłada się na nazewnictwo tych wewnętrznych punktów końcowych. Przed wdrożeniem zasobu usługi Azure Bastion upewnij się, że sieć wirtualna hosta nie jest połączona z prywatną strefą DNS o następujących dokładnych nazwach:

  • management.azure.com
  • blob.core.windows.net
  • core.windows.net
  • vaultcore.windows.net
  • vault.azure.net
  • azure.com

Możesz użyć prywatnej strefy DNS kończącej się jedną z nazw na poprzedniej liście (np. privatelink.blob.core.windows.net).

Usługa Azure Bastion nie jest obsługiwana z Azure Prywatnymi Strefami DNS w chmurach krajowych.

Moja privatelink.azure.com nie może odnaleźć adresu management.privatelink.azure.com.

Może to być spowodowane prywatną strefą DNS dla privatelink.azure.com połączoną z siecią wirtualną Bastion, co powoduje, że CNAME dla management.azure.com jest rozpoznawany jako management.privatelink.azure.com w tle. Utwórz rekord CNAME w strefie privatelink.azure.com, kierujący management.privatelink.azure.com na arm-frontdoor-prod.trafficmanager.net, aby umożliwić pomyślne rozpoznawanie nazw DNS.

Czy usługa Azure Bastion obsługuje usługę Private Link?

Nie, usługa Azure Bastion nie obsługuje obecnie usługi Azure Private Link.

Dlaczego otrzymuję błąd "Nie można dodać podsieci" podczas korzystania z usługi "Deploy Bastion" w portalu?

W tej chwili w przypadku większości przestrzeni adresowych należy dodać podsieć o nazwie AzureBastionSubnet do sieci wirtualnej przed wybraniem pozycji Wdróż usługę Bastion.

Czy do wdrożenia usługi Bastion w podsieci AzureBastionSubnet są wymagane specjalne uprawnienia?

Aby wdrożyć usługę Bastion w podsieci AzureBastionSubnet, wymagane są następujące uprawnienia RBAC: Microsoft.Network/virtualNetworks/write, Microsoft.Network/virtualNetworks/subnets/join/action oraz Microsoft.Network/publicIPAddresses.

Czy mogę mieć podsieć usługi Azure Bastion o rozmiarze /27 lub mniejszym (/28, /29 itp.)?

W przypadku zasobów usługi Azure Bastion wdrożonych w dniu 2 listopada 2021 r. minimalny rozmiar usługi AzureBastionSubnet to /26 lub większy (/25, /24 itp.). Wszystkie zasoby usługi Azure Bastion wdrożone w podsieciach o rozmiarze /27 przed tą datą nie mają wpływu na tę zmianę i będą nadal działać. Jednak zdecydowanie zalecamy zwiększenie rozmiaru dowolnej istniejącej podsieci AzureBastionSubnet do /26, jeśli zdecydujesz się skorzystać ze skalowania hostów w przyszłości.

Czy mogę wdrożyć wiele zasobów platformy Azure w podsieci usługi Azure Bastion?

Nr. Podsieć usługi Azure Bastion (AzureBastionSubnet) jest zarezerwowana tylko dla wdrożenia zasobu usługi Azure Bastion.

Czy routing zdefiniowany przez użytkownika (UDR) jest obsługiwany w podsieci usługi Azure Bastion?

Nr. UDR (Trasa zdefiniowana przez użytkownika) nie jest wspierana na podsieci usługi Azure Bastion.

W przypadku scenariuszy obejmujących zarówno usługę Azure Bastion, jak i usługę Azure Firewall/wirtualne urządzenie sieciowe (WUS) w tej samej sieci wirtualnej, nie musisz wymuszać ruchu z podsieci usługi Azure Bastion do usługi Azure Firewall, ponieważ komunikacja między usługą Azure Bastion a maszynami wirtualnymi jest prywatna. Aby uzyskać więcej informacji, zobacz Uzyskiwanie dostępu do maszyn wirtualnych za usługą Azure Firewall przy użyciu usługi Bastion.

Jakiej jednostki SKU należy używać?

Azure Bastion ma wiele różnych wariantów. Należy wybrać jednostkę SKU na podstawie wymagań dotyczących połączenia i funkcji. Aby uzyskać pełną listę poziomów SKU oraz obsługiwanych połączeń i funkcji, zobacz artykuł Ustawienia konfiguracji.

Czy mogę uaktualnić jednostkę SKU?

Tak. Aby zapoznać się z krokami, zobacz Uaktualnianie jednostki SKU. Aby uzyskać więcej informacji na temat jednostki SKU, zobacz artykuł Ustawienia konfiguracji.

Czy mogę zmniejszyć SKU?

nr. Obniżenie poziomu SKU nie jest obsługiwane. Aby uzyskać więcej informacji na temat SKU, zobacz artykuł Ustawienia konfiguracji.

Czy usługa Bastion obsługuje łączność z usługą Azure Virtual Desktop?

Nie, łączność usługi Bastion z usługą Azure Virtual Desktop nie jest obsługiwana.

Jak można naprawiać błędy wdrażania?

Przejrzyj wszelkie komunikaty o błędach i w razie potrzeby zgłoś wniosek o pomoc techniczną w witrynie Azure Portal . Błędy wdrażania mogą wynikać z limitów, przydziałów i ograniczeń subskrypcji platformy Azure. W szczególności klienci mogą napotkać limit liczby publicznych adresów IP dozwolonych dla subskrypcji, co powoduje niepowodzenie wdrożenia usługi Azure Bastion.

Czy usługa Bastion obsługuje przenoszenie sieci wirtualnej do innej grupy zasobów?

Nr Jeśli przeniesiesz sieć wirtualną do innej grupy zasobów (nawet jeśli znajduje się ona w tej samej subskrypcji), musisz najpierw usunąć usługę Bastion z sieci wirtualnej, a następnie przejść do przeniesienia sieci wirtualnej do nowej grupy zasobów. Gdy sieć wirtualna znajduje się w nowej grupie zasobów, możesz wdrożyć usługę Bastion w sieci wirtualnej.

Czy usługa Bastion obsługuje konta gości Microsoft Entra?

Tak, konta gości Microsoft Entra mogą mieć dostęp do usługi Bastion i mogą łączyć się z maszynami wirtualnymi. Jednak użytkownicy-goście firmy Microsoft Entra nie mogą łączyć się z maszynami wirtualnymi platformy Azure za pośrednictwem uwierzytelniania firmy Microsoft Entra. Użytkownicy niebędący gośćmi są obsługiwani za pośrednictwem uwierzytelniania firmy Microsoft Entra. Aby uzyskać więcej informacji na temat uwierzytelniania Microsoft Entra dla maszyn wirtualnych platformy Azure (dla użytkowników innych niż goście), zobacz w Logowanie się do maszyny wirtualnej z systemem Windows na platformie Azure przy użyciu Microsoft Entra ID.

Nie, domeny niestandardowe nie są obsługiwane za pomocą linków do udostępniania usługi Bastion. Użytkownicy otrzymują błąd certyfikatu podczas próby dodania określonych domen w CN/SAN certyfikatu hosta Bastion.

Połączenie maszyny wirtualnej i dostępne funkcje — często zadawane pytania

Czy jakiekolwiek role są wymagane do uzyskania dostępu do maszyny wirtualnej?

Aby nawiązać połączenie, wymagane są następujące role:

  • Rola czytelnika na maszynie wirtualnej.
  • Rola czytelnika na karcie sieciowej z prywatnym adresem IP maszyny wirtualnej.
  • Rola czytelnika w zasobie Azure Bastion.
  • Rola czytelnika w sieci wirtualnej docelowej maszyny wirtualnej (jeśli wdrożenie usługi Bastion znajduje się w równorzędnej sieci wirtualnej).

Ponadto użytkownik musi mieć uprawnienia (jeśli jest to wymagane), aby nawiązać połączenie z maszyną wirtualną. Jeśli na przykład użytkownik łączy się z maszyną wirtualną z systemem Windows za pośrednictwem protokołu RDP i nie jest członkiem lokalnej grupy Administratorzy, musi być członkiem grupy Użytkownicy pulpitu zdalnego.

Dlaczego przed rozpoczęciem sesji usługi Bastion jest wyświetlany komunikat o błędzie "Twoja sesja wygasła"?

Jeśli przejdziesz do adresu URL bezpośrednio z innej sesji lub karty przeglądarki, ten błąd jest oczekiwany. Pomaga to zagwarantować, że sesja jest bezpieczniejsza i że dostęp do sesji można uzyskać tylko za pośrednictwem witryny Azure Portal. Zaloguj się do witryny Azure Portal i ponownie rozpocznij sesję.

Czy potrzebuję publicznego adresu IP na mojej maszynie wirtualnej, aby nawiązać połączenie za pośrednictwem usługi Azure Bastion?

Nr Podczas nawiązywania połączenia z maszyną wirtualną przy użyciu usługi Azure Bastion nie potrzebujesz publicznego adresu IP na maszynie wirtualnej platformy Azure, z którą nawiązujesz połączenie. Usługa Bastion otwiera sesję lub połączenie RDP/SSH na Twoją maszynę wirtualną za pośrednictwem prywatnego adresu IP Twojej maszyny wirtualnej w Twojej sieci wirtualnej.

Czy muszę mieć klienta RDP lub SSH?

Nr. Dostęp do maszyny wirtualnej można uzyskać w witrynie Azure Portal przy użyciu przeglądarki. Aby uzyskać dostępne połączenia i metody, zobacz About VM connections and features (Informacje o połączeniach i funkcjach maszyn wirtualnych).

Czy użytkownicy potrzebują określonych praw na docelowej maszynie wirtualnej dla połączeń RDP?

Gdy użytkownik nawiązuje połączenie z maszyną wirtualną z systemem Windows za pośrednictwem protokołu RDP, musi mieć prawa do docelowej maszyny wirtualnej. Jeśli użytkownik nie jest administratorem lokalnym, dodaj użytkownika do grupy Użytkownicy pulpitu zdalnego na docelowej maszynie wirtualnej.

Czy mogę nawiązać połączenie z maszyną wirtualną przy użyciu klienta natywnego?

Tak. Połączenie z maszyną wirtualną można nawiązać z komputera lokalnego przy użyciu klienta natywnego. Zobacz Nawiązywanie połączenia z maszyną wirtualną przy użyciu klienta natywnego.

Czy na maszynie wirtualnej platformy Azure muszę mieć agenta?

Nr. Nie musisz instalować agenta ani żadnego oprogramowania w przeglądarce ani maszynie wirtualnej platformy Azure. Usługa Bastion jest bez agenta i nie wymaga żadnego dodatkowego oprogramowania dla protokołu RDP/SSH.

Jakie funkcje są obsługiwane w przypadku sesji maszyn wirtualnych?

Zobacz Informacje o połączeniach i funkcjach maszyn wirtualnych, aby uzyskać informacje o obsługiwanych funkcjach.

Nr. Niektóre organizacje mają zasady firmy, które wymagają zresetowania hasła, gdy użytkownik loguje się do konta lokalnego po raz pierwszy. W przypadku korzystania z linków udostępnionych użytkownik nie może zmienić hasła, mimo że może zostać wyświetlony przycisk "Resetuj hasło".

Czy zdalny dźwięk jest dostępny dla maszyn wirtualnych?

Tak. Zobacz Informacje o połączeniach i funkcjach maszyn wirtualnych.

Czy usługa Azure Bastion obsługuje transfer plików?

Usługa Azure Bastion oferuje obsługę transferu plików między docelową maszyną wirtualną a komputerem lokalnym przy użyciu usługi Bastion i natywnego klienta RDP lub SSH. Obecnie nie można przekazywać ani pobierać plików przy użyciu programu PowerShell ani witryny Azure Portal. Aby uzyskać więcej informacji, zobacz Przekazywanie i pobieranie plików przy użyciu klienta natywnego.

Czy usługa Bastion działa z maszynami wirtualnymi dołączonymi do rozszerzenia Entra ID?

Usługa Bastion współpracuje z maszynami wirtualnymi połączonymi z rozszerzeniem Entra ID dla użytkowników Microsoft Entra, zapewniając dostęp poprzez RDP i SSH na aplikacji lokalnej oraz tylko SSH na portalu. Entra ID dla protokołu RDP w portalu nie jest jeszcze obsługiwane. Aby uzyskać więcej informacji, zobacz Logowanie się do maszyny wirtualnej z systemem Windows na platformie Azure przy użyciu identyfikatora Microsoft Entra.

Czy usługa Bastion jest kompatybilna z maszynami wirtualnymi skonfigurowanymi jako hosty sesji RDS?

Usługa Bastion nie obsługuje nawiązywania połączenia z maszyną wirtualną skonfigurowaną jako host sesji usług pulpitu zdalnego.

Które układy klawiatury są obsługiwane podczas sesji zdalnej usługi Bastion?

Usługa Azure Bastion obecnie obsługuje następujące układy klawiatury wewnątrz maszyny wirtualnej:

  • en-us-qwerty
  • en-gb-qwerty
  • de-ch-qwertz
  • de-de-qwertz
  • fr-be-azerty
  • fr-fr-azerty
  • fr-ch-qwertz
  • hu-hu-qwertz
  • it-it-qwerty
  • ja-jp-qwerty
  • pt-br-qwerty
  • es-es-qwerty
  • es-latam-qwerty
  • sv-se-qwerty
  • tr-tr-qwerty

Aby ustanowić poprawne mapowania dla języka docelowego, należy ustawić układ klawiatury na komputerze lokalnym na język docelowy i układ klawiatury wewnątrz docelowej maszyny wirtualnej na język docelowy. Obie klawiatury muszą być ustawione na język docelowy, aby skonfigurować poprawne mapowania klawiszy wewnątrz docelowej maszyny wirtualnej.

Aby ustawić język docelowy jako układ klawiatury na stacji roboczej z systemem Windows, przejdź do pozycji Ustawienia > Czas i język > i region. W obszarze "Preferowane języki" wybierz pozycję "Dodaj język" i dodaj język docelowy. Następnie będzie można zobaczyć układy klawiatury na pasku narzędzi. Aby ustawić język angielski (Stany Zjednoczone) jako układ klawiatury, wybierz pozycję "ENG" na pasku narzędzi lub kliknij pozycję Windows + Spacja, aby otworzyć układy klawiatury.

Czy istnieje rozwiązanie klawiatury do przełączania fokusu między maszyną wirtualną a przeglądarką?

Użytkownicy mogą używać "Ctrl+Shift+Alt", aby skutecznie przełączać fokus między maszyną wirtualną a przeglądarką.

Jak mogę odzyskać fokus klawiatury lub myszy z aplikacji?

Kliknij dwukrotnie klawisz Windows, aby przywrócić fokus w oknie Bastion.

Jaka jest maksymalna rozdzielczość ekranu obsługiwana za pośrednictwem usługi Bastion?

Obecnie 1920x1080 (1080p) to maksymalna obsługiwana rozdzielczość.

Czy usługa Azure Bastion obsługuje konfigurację strefy czasowej lub przekierowywanie strefy czasowej dla docelowych maszyn wirtualnych?

Usługa Azure Bastion obecnie nie obsługuje przekierowywania strefy czasowej i nie można konfigurować strefy czasowej. Ustawienia strefy czasowej maszyny wirtualnej można ręcznie zaktualizować po pomyślnym nawiązaniu połączenia z systemem operacyjnym gościa.

Czy istniejąca sesja zostanie rozłączona podczas konserwacji na hoście usługi Bastion?

Tak, istniejące sesje w docelowym zasobie usługi Bastion zostaną rozłączone podczas konserwacji zasobu usługi Bastion.

Nawiążę połączenie z maszyną wirtualną przy użyciu zasad JIT, czy potrzebuję dodatkowych uprawnień?

Jeśli użytkownik łączy się z maszyną wirtualną przy użyciu zasad JIT, nie ma dodatkowych uprawnień. Aby uzyskać więcej informacji na temat nawiązywania połączenia z maszyną wirtualną przy użyciu zasad JIT, zobacz Włączanie dostępu just in time na maszynach wirtualnych.

Często zadawane pytania na temat peeringu sieci VNet

Czy nadal można wdrożyć wiele hostów usługi Bastion w równorzędnych sieciach wirtualnych?

Tak. Domyślnie użytkownik widzi hosta usługi Bastion wdrożonego w tej samej sieci wirtualnej, w której znajduje się maszyna wirtualna. Jednak w menu Połącz użytkownik może zobaczyć wiele hostów usługi Bastion wykrytych w sieciach równorzędnych. Mogą wybrać hosta usługi Bastion, którego wolą używać do nawiązywania połączenia z maszyną wirtualną wdrożona w sieci wirtualnej.

Jeśli moje połączone sieci wirtualne są wdrażane w różnych subskrypcjach, czy łączność za pośrednictwem usługi Bastion będzie działać?

Tak, łączność za pośrednictwem usługi Bastion będzie nadal działać w przypadku równorzędnych sieci wirtualnych w różnych subskrypcjach w obrębie pojedynczej dzierżawy. Subskrypcje u dwóch różnych dzierżawców nie są obsługiwane. Aby wyświetlić Bastion w menu rozwijanym Połącz, użytkownik musi wybrać subskrypcje, do których mają dostęp w subskrypcji globalnej.

Filtr globalnych subskrypcji.

Mam dostęp do połączonej sieci VNet, ale nie widzę wdrożonej tam VM.

Upewnij się, że użytkownik ma dostęp do odczytu zarówno do maszyny wirtualnej, jak i połączonej sieci wirtualnej. Ponadto sprawdź w IAM, czy użytkownik ma dostęp do odczytu do następujących zasobów:

  • Rola czytelnika na maszynie wirtualnej.
  • Rola czytelnika na interfejsie sieciowym z prywatnym adresem IP maszyny wirtualnej.
  • Rola czytelnika w zasobie Azure Bastion.
  • Rola czytelnika w sieci wirtualnej (nie jest wymagana, jeśli nie istnieje równorzędna sieć wirtualna).
Uprawnienia opis Typ uprawnienia
Microsoft.Network/bastionHosts/read Pobiera hosta usługi Bastion Akcja
Microsoft.Network/virtualNetworks/BastionHosts/action Pobiera odwołania do hosta Bastion w sieci wirtualnej. Akcja
Microsoft.Network/virtualNetworks/bastionHosts/default/action Pobiera odwołania do hosta Bastion w sieci wirtualnej. Akcja
Microsoft.Network/networkInterfaces/read Pobiera definicję interfejsu sieciowego. Akcja
Microsoft.Network/networkInterfaces/ipconfigurations/read Pobiera definicję konfiguracji adresu IP interfejsu sieciowego. Akcja
Microsoft.Network/virtualNetworks/read Pobieranie definicji sieci wirtualnej Akcja
Microsoft.Network/virtualNetworks/subnets/virtualMachines/read Pobiera odwołania do wszystkich maszyn wirtualnych w podsieci sieci wirtualnej Akcja
Microsoft.Network/virtualNetworks/virtualMachines/read (Odczyt maszyn wirtualnych w sieciach wirtualnych) Pobiera odwołania do wszystkich maszyn wirtualnych w sieci wirtualnej Akcja

Następne kroki

Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Bastion.