Informacje o ustawieniach konfiguracji usługi Bastion
W sekcjach w tym artykule omówiono zasoby i ustawienia usługi Azure Bastion.
Jednostki SKU
Jednostka SKU jest również nazywana warstwą. Usługa Azure Bastion obsługuje wiele warstw jednostki SKU. Podczas konfigurowania usługi Bastion należy wybrać warstwę jednostki SKU. Decydujesz o warstwie jednostki SKU na podstawie funkcji, których chcesz użyć. W poniższej tabeli przedstawiono dostępność funkcji dla odpowiedniej jednostki SKU.
| Funkcja | Jednostka SKU dewelopera | Podstawowy SKU | Standardowy SKU | Jednostki SKU w warstwie Premium |
|---|---|---|---|---|
| Połączenie do docelowych maszyn wirtualnych w tej samej sieci wirtualnej | Tak | Tak | Tak | Tak |
| Połączenie do docelowych maszyn wirtualnych w równorzędnych sieciach wirtualnych | Nie. | Tak | Tak | Tak |
| Obsługa połączeń współbieżnych | Nie. | Tak | Tak | Tak |
| Uzyskiwanie dostępu do kluczy prywatnych maszyn wirtualnych z systemem Linux w usłudze Azure Key Vault (AKV) | Nie. | Tak | Tak | Tak |
| Połączenie do maszyny wirtualnej z systemem Linux przy użyciu protokołu SSH | Tak | Tak | Tak | Tak |
| Połączenie do maszyny wirtualnej z systemem Windows przy użyciu protokołu RDP | Tak | Tak | Tak | Tak |
| Połączenie do maszyny wirtualnej z systemem Linux przy użyciu protokołu RDP | Nie | Nie. | Tak | Tak |
| Połączenie do maszyny wirtualnej z systemem Windows przy użyciu protokołu SSH | Nie | Nie. | Tak | Tak |
| Określanie niestandardowego portu wejściowego | Nie | Nie. | Tak | Tak |
| Połączenie do maszyn wirtualnych przy użyciu interfejsu wiersza polecenia platformy Azure | Nie | Nie. | Tak | Tak |
| Skalowanie hostów | Nie | Nie. | Tak | Tak |
| Przekazywanie lub pobieranie plików | Nie | Nie. | Tak | Tak |
| Uwierzytelnianie Kerberos | Nie. | Tak | Tak | Tak |
| Link do udostępniania | Nie | Nie. | Tak | Tak |
| Połączenie do maszyn wirtualnych za pośrednictwem adresu IP | Nie | Nie. | Tak | Tak |
| Dane wyjściowe audio maszyny wirtualnej | Tak | Tak | Tak | Tak |
| Wyłączanie kopiowania/wklejania (klienci internetowi) | Nie | Nie. | Tak | Tak |
| Nagrywanie sesji | Nie | Nie. | Nie. | Tak |
| Wdrożenie tylko prywatne | Nie | Nie. | Nie. | Tak |
Jednostka SKU dewelopera
Jednostka SKU dewelopera usługi Bastion to bezpłatna, uproszczona jednostka SKU. Ta jednostka SKU jest idealna dla użytkowników tworzenia i testowania, którzy chcą bezpiecznie łączyć się z maszynami wirtualnymi, ale nie potrzebują dodatkowych funkcji usługi Bastion ani skalowania hostów. Jednostka SKU dewelopera umożliwia łączenie się z jedną maszyną wirtualną platformy Azure naraz bezpośrednio za pośrednictwem strony łączenia maszyny wirtualnej.
Podczas wdrażania usługi Bastion przy użyciu jednostki SKU dewelopera wymagania dotyczące wdrażania różnią się od wdrażania przy użyciu innych jednostek SKU. Zazwyczaj podczas tworzenia hosta bastionu host jest wdrażany w podsieci AzureBastionSubnet w sieci wirtualnej. Host usługi Bastion jest przeznaczony do użycia. W przypadku korzystania z jednostki SKU dewelopera host bastionu nie jest wdrażany w sieci wirtualnej i nie jest potrzebny podsieć AzureBastionSubnet. Jednak host bastionu jednostki SKU dewelopera nie jest zasobem dedykowanym. Zamiast tego jest częścią udostępnionej puli.
Ponieważ zasób bastionu jednostki SKU dewelopera nie jest dedykowany, funkcje jednostki SKU dewelopera są ograniczone. Zobacz sekcję Jednostka SKU ustawień konfiguracji usługi Bastion, aby uzyskać informacje o funkcjach wymienionych przez jednostkę SKU. Zawsze możesz uaktualnić jednostkę SKU dewelopera do wyższej jednostki SKU, jeśli potrzebujesz obsługiwać więcej funkcji. Zobacz Uaktualnianie jednostki SKU.
Jednostka SKU dewelopera jest obecnie dostępna w następujących regionach:
- Środkowe stany USA — EUAP
- Wschodnie stany USA 2 — EUAP
- Zachodnio-środkowe stany USA
- Północno-środkowe stany USA
- Zachodnie stany USA
- Europa Północna
Uwaga
Komunikacja równorzędna sieci wirtualnych nie jest obecnie obsługiwana dla jednostki SKU dewelopera.
Jednostka SKU w warstwie Premium (wersja zapoznawcza)
Jednostka SKU w warstwie Premium to nowa jednostka SKU, która obsługuje funkcje usługi Bastion, takie jak rejestrowanie sesji i usługa Bastion tylko prywatna. Podczas wdrażania bastionu wybierz tylko jednostkę SKU Premium, jeśli potrzebujesz funkcji, które obsługuje.
Określanie jednostki SKU
| Method | Wartość jednostki SKU | Linki |
|---|---|---|
| Azure Portal | Warstwa — deweloper | Szybki start |
| Azure Portal | Warstwa — Podstawowa | Szybki start |
| Azure Portal | Warstwa — podstawowa lub wyższa | Samouczek |
| Azure PowerShell | Warstwa — podstawowa lub wyższa | Instrukcje |
| Interfejs wiersza polecenia platformy Azure | Warstwa — podstawowa lub wyższa | Instrukcje |
Uaktualnianie jednostki SKU
Zawsze można uaktualnić jednostkę SKU, aby dodać więcej funkcji. Aby uzyskać więcej informacji, zobacz Uaktualnianie jednostki SKU.
Uwaga
Obniżenie poziomu jednostki SKU nie jest obsługiwane. Aby obniżyć dół, musisz usunąć i ponownie utworzyć usługę Azure Bastion.
Podsieć usługi Azure Bastion
Ważne
W przypadku zasobów usługi Azure Bastion wdrożonych w dniu 2 listopada 2021 r. minimalny rozmiar usługi AzureBastionSubnet to /26 lub większy (/25, /24 itp.). Wszystkie zasoby usługi Azure Bastion wdrożone w podsieciach o rozmiarze /27 przed tą datą nie mają wpływu na tę zmianę i będą nadal działać, ale zdecydowanie zalecamy zwiększenie rozmiaru dowolnej istniejącej podsieci AzureBastionSubnet do /26 w przypadku wybrania możliwości skalowania hostów w przyszłości.
Podczas wdrażania usługi Azure Bastion przy użyciu dowolnej jednostki SKU z wyjątkiem jednostki SKU dla deweloperów usługa Bastion wymaga dedykowanej podsieci o nazwie AzureBastionSubnet. Tę podsieć należy utworzyć w tej samej sieci wirtualnej, w której chcesz wdrożyć usługę Azure Bastion. Podsieć musi mieć następującą konfigurację:
- Nazwa podsieci musi być azureBastionSubnet.
- Rozmiar podsieci musi być /26 lub większy (/25, /24 itp.).
- W przypadku skalowania hostów zaleca się użycie podsieci /26 lub większej. Użycie mniejszej przestrzeni podsieci ogranicza liczbę jednostek skalowania. Aby uzyskać więcej informacji, zobacz sekcję Skalowanie hostów w tym artykule.
- Podsieć musi znajdować się w tej samej sieci wirtualnej i grupie zasobów co host bastionu.
- Podsieć nie może zawierać innych zasobów.
To ustawienie można skonfigurować przy użyciu następujących metod:
| Method | Wartość | Linki |
|---|---|---|
| Azure Portal | Podsieć | Szybki start Samouczek |
| Azure PowerShell | -subnetName | Polecenie cmdlet |
| Interfejs wiersza polecenia platformy Azure | --subnet-name | Polecenia |
Publiczny adres IP
Wdrożenia usługi Azure Bastion, z wyjątkiem jednostek SKU dla deweloperów i tylko prywatny, wymagają publicznego adresu IP. Publiczny adres IP musi mieć następującą konfigurację:
- Jednostka SKU publicznego adresu IP musi mieć wartość Standardowa.
- Metoda przypisania/alokacji publicznego adresu IP musi być statyczna.
- Nazwa publicznego adresu IP to nazwa zasobu, za pomocą której chcesz odwoływać się do tego publicznego adresu IP.
- Możesz użyć już utworzonego publicznego adresu IP, o ile spełnia on kryteria wymagane przez usługę Azure Bastion i nie jest jeszcze używany.
To ustawienie można skonfigurować przy użyciu następujących metod:
| Method | Wartość | Linki |
|---|---|---|
| Azure Portal | Publiczny adres IP | Azure Portal |
| Azure PowerShell | -PublicIpAddress | Polecenie cmdlet |
| Interfejs wiersza polecenia platformy Azure | --public-ip create | Polecenia |
Wystąpienia i skalowanie hostów
Wystąpienie to zoptymalizowana maszyna wirtualna platformy Azure tworzona podczas konfigurowania usługi Azure Bastion. Jest ona w pełni zarządzana przez platformę Azure i uruchamia wszystkie procesy wymagane dla usługi Azure Bastion. Wystąpienie jest również nazywane jednostką skalowania. Nawiąż połączenie z maszynami wirtualnymi klienta za pośrednictwem wystąpienia usługi Azure Bastion. Podczas konfigurowania usługi Azure Bastion przy użyciu jednostki SKU w warstwie Podstawowa tworzone są dwa wystąpienia. Jeśli używasz jednostki SKU w warstwie Standardowa lub nowszej, możesz określić liczbę wystąpień (z co najmniej dwoma wystąpieniami). Jest to nazywane skalowaniem hostów.
Każde wystąpienie może obsługiwać 20 współbieżnych połączeń RDP i 40 współbieżnych połączeń SSH dla średnich obciążeń (zobacz Limity subskrypcji platformy Azure i limity przydziału , aby uzyskać więcej informacji). Liczba połączeń na wystąpienia zależy od akcji, które są podejmowane podczas nawiązywania połączenia z maszyną wirtualną klienta. Jeśli na przykład wykonujesz operacje intensywnie korzystające z danych, spowoduje to większe obciążenie dla wystąpienia do przetworzenia. Po przekroczeniu współbieżnych sesji wymagana jest inna jednostka skalowania (wystąpienie).
Wystąpienia są tworzone w podsieci AzureBastionSubnet. Aby umożliwić skalowanie hostów, podsieć AzureBastionSubnet powinna mieć wartość /26 lub większą. Użycie mniejszej podsieci ogranicza liczbę wystąpień, które można utworzyć. Aby uzyskać więcej informacji na temat podsieci AzureBastionSubnet, zobacz sekcję podsieci w tym artykule.
To ustawienie można skonfigurować przy użyciu następujących metod:
| Method | Wartość | Linki | Wymaga jednostki SKU w warstwie Standardowa lub nowszej |
|---|---|---|---|
| Azure Portal | Liczba wystąpień | Instrukcje | Tak |
| Azure PowerShell | ScaleUnit | Instrukcje | Tak |
Porty niestandardowe
Możesz określić port, którego chcesz użyć do nawiązania połączenia z maszynami wirtualnymi. Domyślnie porty przychodzące używane do nawiązywania połączenia to 3389 dla protokołu RDP i 22 dla protokołu SSH. Jeśli skonfigurujesz niestandardową wartość portu, określ wartość podczas nawiązywania połączenia z maszyną wirtualną.
Niestandardowe wartości portów są obsługiwane tylko dla jednostki SKU w warstwie Standardowa lub nowszej.
Link do udostępniania
Funkcja Link do udostępniania usługi Bastion umożliwia użytkownikom łączenie się z zasobem docelowym przy użyciu usługi Azure Bastion bez uzyskiwania dostępu do witryny Azure Portal.
Gdy użytkownik bez poświadczeń platformy Azure kliknie link do udostępniania, zostanie otwarta strona internetowa z monitem użytkownika o zalogowanie się do zasobu docelowego za pośrednictwem protokołu RDP lub SSH. Użytkownicy uwierzytelniają się przy użyciu nazwy użytkownika i hasła lub klucza prywatnego, w zależności od tego, co zostało skonfigurowane w witrynie Azure Portal dla tego zasobu docelowego. Użytkownicy mogą łączyć się z tymi samymi zasobami, z którymi można obecnie nawiązać połączenie za pomocą usługi Azure Bastion: maszyn wirtualnych lub zestawu skalowania maszyn wirtualnych.
| Method | Wartość | Linki | Wymaga jednostki SKU w warstwie Standardowa lub nowszej |
|---|---|---|---|
| Azure Portal | Link do udostępniania | Ustaw opcję | Tak |
Wdrożenie tylko prywatne
Wdrożenia usługi Bastion tylko w trybie prywatnym blokują kompleksowe obciążenia, tworząc wdrożenie usługi Bastion bez routingu internetowego, które zezwala tylko na dostęp do prywatnych adresów IP. Wdrożenia usługi Bastion tylko dla prywatnych nie zezwalają na połączenia z hostem bastionu za pośrednictwem publicznego adresu IP. Z kolei regularne wdrażanie usługi Azure Bastion umożliwia użytkownikom łączenie się z hostem bastionu przy użyciu publicznego adresu IP. Aby uzyskać więcej informacji, zobacz Deploy Bastion as private-only (Wdrażanie usługi Bastion jako tylko prywatnie).
Nagrywanie sesji
Po włączeniu funkcji nagrywania sesji usługi Azure Bastion można rejestrować sesje graficzne dla połączeń wykonanych z maszynami wirtualnymi (RDP i SSH) za pośrednictwem hosta bastionu. Po zamknięciu lub rozłączeniu sesji zarejestrowane sesje są przechowywane w kontenerze obiektów blob na koncie magazynu (za pośrednictwem adresu URL sygnatury dostępu współdzielonego). Po rozłączeniu sesji możesz uzyskać dostęp do zarejestrowanych sesji i wyświetlić je w witrynie Azure Portal na stronie Nagrywanie sesji. Rejestrowanie sesji wymaga jednostki SKU usługi Bastion Premium. Aby uzyskać więcej informacji, zobacz Rejestrowanie sesji usługi Bastion.
Strefy dostępności
Niektóre regiony obsługują możliwość wdrażania usługi Azure Bastion w strefie dostępności (lub wielu w przypadku nadmiarowości strefy). Aby wdrożyć strefowo, wdróż usługę Bastion przy użyciu ręcznie określonych ustawień (nie wdrażaj przy użyciu ustawień domyślnych automatycznych). Określ żądane strefy dostępności w czasie wdrażania. Nie można zmienić dostępności strefowej po wdrożeniu usługi Bastion.
Obsługa Strefy dostępności jest obecnie dostępna w wersji zapoznawczej. W wersji zapoznawczej dostępne są następujące regiony:
- Wschodnie stany USA
- Australia Wschodnia
- Wschodnie stany USA 2
- Środkowe stany USA
- Katar Środkowy
- Północna Republika Południowej Afryki
- West Europe
- Zachodnie stany USA 2
- Europa Północna
- Szwecja Środkowa
- Południowe Zjednoczone Królestwo
- Kanada Środkowa
Następne kroki
Aby uzyskać często zadawane pytania, zobacz Często zadawane pytania dotyczące usługi Azure Bastion.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla