Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W sekcjach w tym artykule omówiono zasoby i ustawienia usługi Azure Bastion.
Jednostki SKU
SKU jest również znane jako poziom. Usługa Azure Bastion obsługuje wiele warstw jednostki SKU. Podczas konfigurowania usługi Bastion należy wybrać warstwę jednostki SKU. Decydujesz o warstwie jednostki SKU na podstawie funkcji, których chcesz użyć. W poniższej tabeli przedstawiono dostępność funkcji dla odpowiedniej jednostki SKU.
| Funkcja | Podstawowa jednostka magazynowa (SKU) | Standardowy SKU | Jednostka SKU w warstwie Premium |
|---|---|---|---|
| Nawiązywanie połączenia z docelowymi maszynami wirtualnymi w tej samej sieci wirtualnej | Tak | Tak | Tak |
| Połącz się z docelowymi maszynami wirtualnymi w połączonych sieciach wirtualnych | Tak | Tak | Tak |
| Obsługa połączeń współbieżnych | Tak | Tak | Tak |
| Uzyskiwanie dostępu do kluczy prywatnych maszyn wirtualnych z systemem Linux w usłudze Azure Key Vault (AKV) | Tak | Tak | Tak |
| Nawiązywanie połączenia z maszyną wirtualną z systemem Linux przy użyciu protokołu SSH | Tak | Tak | Tak |
| Nawiązywanie połączenia z maszyną wirtualną z systemem Windows przy użyciu protokołu RDP | Tak | Tak | Tak |
| Nawiązywanie połączenia z maszyną wirtualną z systemem Linux przy użyciu protokołu RDP | Nie. | Tak | Tak |
| Nawiązywanie połączenia z maszyną wirtualną z systemem Windows przy użyciu protokołu SSH | Nie. | Tak | Tak |
| Określanie niestandardowego portu wejściowego | Nie. | Tak | Tak |
| Nawiązywanie połączenia z maszynami wirtualnymi przy użyciu interfejsu wiersza polecenia platformy Azure | Nie. | Tak | Tak |
| Skalowanie hostów | Nie. | Tak | Tak |
| Przekazywanie lub pobieranie plików | Nie. | Tak | Tak |
| Uwierzytelnianie Kerberos | Tak | Tak | Tak |
| Link do udostępniania | Nie. | Tak | Tak |
| Nawiązywanie połączenia z maszynami wirtualnymi za pośrednictwem adresu IP | Nie. | Tak | Tak |
| Wyjście audio VM | Tak | Tak | Tak |
| Wyłączanie kopiowania/wklejania (klienci internetowi) | Nie. | Tak | Tak |
| Nagrywanie sesji | Nie. | Nie. | Tak |
| Wdrożenie tylko prywatne | Nie. | Nie. | Tak |
Deweloper Bastion
Wersja deweloperska Bastion to bezpłatne, lekkie rozwiązanie usługi Azure Bastion. Ta oferta jest idealna dla użytkowników tworzenia i testowania, którzy chcą bezpiecznie łączyć się z maszynami wirtualnymi, ale nie potrzebują dodatkowych funkcji usługi Bastion ani skalowania hostów. Bastion Developer umożliwia połączenie z jedną maszyną wirtualną platformy Azure naraz bezpośrednio ze strony połączeń maszyny wirtualnej.
W przypadku nawiązywania połączenia z deweloperem usługi Bastion wymagania dotyczące wdrażania różnią się od wdrożeń przy użyciu innych jednostek SKU. Zazwyczaj podczas tworzenia hosta bastionu, host jest wdrażany w podsieci AzureBastionSubnet w Twojej sieci wirtualnej. Host Bastion jest dedykowany do Twojego użytku, natomiast Bastion Developer nie jest. Ponieważ zasób dewelopera usługi Bastion nie jest dedykowany, funkcje dewelopera usługi Bastion są ograniczone. Zawsze możesz uaktualnić dewelopera Bastion do określonej wersji SKU , aby obsługiwać więcej funkcji. Zobacz Uaktualnij jednostkę SKU.
Bastion Developer jest obecnie dostępny w następujących regionach:
- Australia Środkowa
- Australia Wschodnia
- Australia Południowo-Wschodnia
- Brazylia Południowa
- Kanada Środkowa
- Kanada Wschodnia
- Indie Środkowe
- Środkowe stany USA
- Centralna część USA — EUAP
- Azja Wschodnia
- Wschodnie stany USA 2
- Wschodnie stany USA 2 — EUAP
- Francja Środkowa
- Niemcy Zachodnio-środkowe
- Włochy Północne
- Japonia Wschodnia
- Japonia Zachodnia
- Korea Środkowa
- Korea Południowa
- Meksyk Środkowy
- Północno-środkowe stany USA
- Europa Północna
- Norwegia Wschodnia
- Polska Środkowa
- Północ Południowej Afryki
- Indie Południowe
- Hiszpania Środkowa
- Azja Południowo-Wschodnia
- Szwecja Środkowa
- Szwajcaria Północna
- Północne Zjednoczone Emiraty Arabskie
- Południowe Zjednoczone Królestwo
- Zachodnie Zjednoczone Królestwo
- Europa Zachodnia
- Zachodnie stany USA
- Zachodnio-środkowe stany USA
Uwaga
Komunikacja równorzędna VNet nie jest obecnie obsługiwana dla Bastion Developer.
Jednostka SKU w warstwie Premium
Jednostka SKU w warstwie Premium to nowa jednostka SKU, która obsługuje funkcje usługi Bastion, takie jak rejestrowanie sesji i usługa Bastion tylko prywatna. Podczas wdrażania usługi Bastion zalecamy wybranie jednostki SKU Premium tylko wtedy, gdy potrzebujesz funkcji, które obsługuje.
Określ SKU
| Metoda | Wartość jednostki SKU | Linki |
|---|---|---|
| Azure Portal | Poziom — deweloper | Szybki start |
| Azure Portal | Poziom — Standardowy | Szybki start |
| Azure Portal | Warstwa — podstawowa lub wyższa | Samouczek |
| Azure PowerShell | Warstwa — podstawowa lub wyższa | Instrukcje |
| Azure CLI | Warstwa — podstawowa lub wyższa | Instrukcje |
Uaktualnij SKU
Zawsze można uaktualnić jednostkę SKU, aby dodać więcej funkcji. Aby uzyskać więcej informacji, zobacz Uaktualnij jednostkę SKU.
Uwaga
Obniżenie poziomu jednostki SKU nie jest obsługiwane. Aby obniżyć poziom, musisz usunąć i ponownie utworzyć usługę Azure Bastion.
Podsieć Azure Bastion
Ważne
W przypadku zasobów usługi Azure Bastion wdrożonych w dniu 2 listopada 2021 r. minimalny rozmiar usługi AzureBastionSubnet to /26 lub większy (/25, /24 itp.). Wszystkie zasoby usługi Azure Bastion wdrożone w podsieciach o rozmiarze /27 przed tą datą nie mają wpływu na tę zmianę i będą nadal działać, ale zdecydowanie zalecamy zwiększenie rozmiaru dowolnej istniejącej podsieci AzureBastionSubnet do /26 w przypadku wybrania możliwości skalowania hostów w przyszłości.
W przypadku wdrażania usługi Azure Bastion przy użyciu dowolnej jednostki SKU z wyjątkiem oferty dla deweloperów usługi Bastion usługa Bastion wymaga dedykowanej podsieci o nazwie AzureBastionSubnet. Tę podsieć należy utworzyć w tej samej sieci wirtualnej, w której chcesz wdrożyć usługę Azure Bastion. Podsieć musi mieć następującą konfigurację:
- Nazwa podsieci musi być azureBastionSubnet.
- Rozmiar podsieci musi być /26 lub większy (/25, /24 itp.).
- W przypadku skalowania hostów zaleca się użycie podsieci /26 lub większej. Użycie mniejszej przestrzeni podsieci ogranicza liczbę jednostek skalowania. Aby uzyskać więcej informacji, zobacz sekcję Skalowanie hostów w tym artykule.
- Podsieć musi znajdować się w tej samej sieci wirtualnej i grupie zasobów co host bastionu.
- Podsieć nie może zawierać innych zasobów.
To ustawienie można skonfigurować przy użyciu następujących metod:
| Metoda | Wartość | Linki |
|---|---|---|
| Azure Portal | Podsieć |
Szybki start Samouczek |
| Azure PowerShell | -nazwaPodsieci | cmdlet |
| Azure CLI | --subnet-name | polecenie |
Publiczny adres IP
Wdrożenia usługi Azure Bastion, z wyjątkiem usługi Bastion Developer i Private-only, wymagają publicznego adresu IP. Publiczny adres IP musi mieć następującą konfigurację:
- Jednostka SKU publicznego adresu IP musi mieć wartość Standardowa.
- Metoda przypisania/alokacji publicznego adresu IP musi być statyczna.
- Nazwa publicznego adresu IP to nazwa zasobu, za pomocą której chcesz odwoływać się do tego publicznego adresu IP.
- Możesz użyć już utworzonego publicznego adresu IP, o ile spełnia on kryteria wymagane przez usługę Azure Bastion i nie jest jeszcze używany.
To ustawienie można skonfigurować przy użyciu następujących metod:
| Metoda | Wartość | Linki |
|---|---|---|
| Azure Portal | Publiczny adres IP | Azure Portal |
| Azure PowerShell | -AdresIPPubliczny | cmdlet |
| Azure CLI | --public-ip utworzyć | polecenie |
Wystąpienia i skalowanie hostów
Wystąpienie to zoptymalizowana maszyna wirtualna platformy Azure tworzona podczas konfigurowania usługi Azure Bastion. Jest ona w pełni zarządzana przez platformę Azure i uruchamia wszystkie procesy wymagane dla usługi Azure Bastion. Wystąpienie jest również nazywane jednostką skalowania. Możesz połączyć się z maszynami wirtualnymi klienta za pośrednictwem wystąpienia Azure Bastion. Podczas konfigurowania usługi Azure Bastion przy użyciu SKU Basic tworzone są dwa wystąpienia. Jeśli używasz jednostki SKU w warstwie Standardowa lub nowszej, możesz określić liczbę wystąpień (z co najmniej dwoma wystąpieniami). Jest to nazywane skalowaniem hostów.
Każde wystąpienie może obsługiwać 20 współbieżnych połączeń RDP i 40 współbieżnych połączeń SSH dla średnich obciążeń (zobacz Limity subskrypcji platformy Azure i przydziałów, aby uzyskać więcej informacji). Liczba połączeń na instancję zależy od czynności, które są podejmowane podczas połączenia z maszyną wirtualną klienta. Na przykład, jeśli wykonujesz operacje intensywnie korzystające z danych, powoduje to większe obciążenie instancji do przetworzenia. Gdy liczba współbieżnych sesji zostanie przekroczona, wymagana jest dodatkowa jednostka skalowania (instancja).
Instancje są tworzone w podsieci AzureBastionSubnet. Aby umożliwić skalowanie hostów, podsieć AzureBastionSubnet powinna mieć wartość /26 lub większą. Użycie mniejszej podsieci ogranicza liczbę wystąpień, które można utworzyć. Aby uzyskać więcej informacji na temat podsieci AzureBastionSubnet, zobacz sekcję podsieci w tym artykule.
To ustawienie można skonfigurować przy użyciu następujących metod:
| Metoda | Wartość | Linki | Wymaga SKU standardowego lub wyższego poziomu |
|---|---|---|---|
| Azure Portal | Liczba wystąpień | Instrukcje | Tak |
| Azure PowerShell | ScaleUnit | Instrukcje | Tak |
Porty niestandardowe
Możesz określić port, którego chcesz użyć do nawiązania połączenia z maszynami wirtualnymi. Domyślnie porty przychodzące używane do nawiązywania połączenia to 3389 dla protokołu RDP i 22 dla protokołu SSH. Jeśli skonfigurujesz niestandardową wartość portu, określ wartość podczas nawiązywania połączenia z maszyną wirtualną.
Niestandardowe wartości portów są obsługiwane tylko dla jednostki SKU w warstwie Standardowa lub nowszej.
Link do udostępniania
Funkcja udostępniania linku Bastion umożliwia użytkownikom łączenie się z zasobem docelowym przy użyciu usługi Azure Bastion bez uzyskiwania dostępu do portalu Azure.
Gdy użytkownik bez poświadczeń platformy Azure kliknie link do udostępniania, zostanie otwarta strona internetowa z monitem użytkownika o zalogowanie się do zasobu docelowego za pośrednictwem protokołu RDP lub SSH. Użytkownicy uwierzytelniają się przy użyciu nazwy użytkownika i hasła lub klucza prywatnego, w zależności od tego, co zostało skonfigurowane w witrynie Azure Portal dla tego zasobu docelowego. Użytkownicy mogą łączyć się z tymi samymi zasobami, z którymi można obecnie nawiązać połączenie za pomocą usługi Azure Bastion: maszyn wirtualnych lub zestawu skalowania maszyn wirtualnych.
| Metoda | Wartość | Linki | Wymaga SKU w wersji standardowej lub nowszej |
|---|---|---|---|
| Azure Portal | Link do udostępniania | Ustaw opcję | Tak |
Tylko prywatne wdrożenie
Wdrożenia usługi Bastion tylko w trybie prywatnym blokują kompleksowe obciążenia, tworząc wdrożenie usługi Bastion bez routingu internetowego, które zezwala tylko na dostęp do prywatnych adresów IP. Wdrożenia usługi Bastion tylko dla prywatnych nie zezwalają na połączenia z hostem bastionu za pośrednictwem publicznego adresu IP. Z kolei regularne wdrażanie usługi Azure Bastion umożliwia użytkownikom łączenie się z hostem bastionu przy użyciu publicznego adresu IP. Aby uzyskać więcej informacji, zobacz Deploy Bastion as private-only (Wdrażanie usługi Bastion jako tylko prywatnie).
Nagrywanie sesji
Po włączeniu funkcji nagrywania sesji usługi Azure Bastion można rejestrować sesje graficzne dla połączeń wykonanych z maszynami wirtualnymi (RDP i SSH) za pośrednictwem hosta bastionu. Po zamknięciu lub rozłączeniu sesji zarejestrowane sesje są przechowywane w kontenerze blobów na koncie przechowywania (za pośrednictwem adresu URL sygnatury dostępu współdzielonego). Po rozłączeniu sesji możesz uzyskać dostęp do zarejestrowanych sesji i wyświetlić je w witrynie Azure Portal na stronie Nagrywanie sesji. Rejestrowanie sesji wymaga jednostki SKU usługi Bastion Premium. Aby uzyskać więcej informacji, zobacz Rejestrowanie sesji Bastion.
Strefy dostępności
Niektóre regiony obsługują możliwość wdrażania usługi Azure Bastion w jednej lub kilku strefach dostępności (w celu redundancji strefowej). Aby wdrożyć strefowo, wdróż usługę Bastion przy użyciu ręcznie określonych ustawień (nie wdrażaj przy użyciu ustawień domyślnych automatycznych). Określ żądane strefy dostępności w czasie wdrażania. Nie można zmienić dostępności strefowej po wdrożeniu usługi Bastion.
Obsługa Strefy dostępności jest obecnie dostępna w wersji zapoznawczej. W wersji zapoznawczej dostępne są następujące regiony:
- Wschodnie stany USA
- Australia Wschodnia
- Wschodnie stany USA 2
- Środkowe stany USA
- Katar Środkowy
- Północna Republika Południowej Afryki
- Europa Zachodnia
- Zachodnie stany USA 2
- Europa Północna
- Szwecja Środkowa
- Południowe Zjednoczone Królestwo
- Kanada Środkowa
Następne kroki
Aby uzyskać często zadawane pytania, zobacz Często zadawane pytania dotyczące usługi Azure Bastion.