Informacje o ustawieniach konfiguracji usługi Bastion
W sekcjach w tym artykule omówiono zasoby i ustawienia usługi Azure Bastion.
Jednostki SKU
Jednostka SKU jest również nazywana warstwą. Usługa Azure Bastion obsługuje wiele warstw jednostki SKU. Podczas konfigurowania usługi Bastion należy wybrać warstwę jednostki SKU. Decydujesz o warstwie jednostki SKU na podstawie funkcji, których chcesz użyć. W poniższej tabeli przedstawiono dostępność funkcji dla odpowiedniej jednostki SKU.
| Funkcja | Jednostka SKU dewelopera | Podstawowy SKU | Standardowy SKU |
|---|---|---|---|
| Połączenie do docelowych maszyn wirtualnych w tej samej sieci wirtualnej | Tak | Tak | Tak |
| Połączenie do docelowych maszyn wirtualnych w równorzędnych sieciach wirtualnych | Nie. | Tak | Tak |
| Obsługa połączeń współbieżnych | Nie. | Tak | Tak |
| Uzyskiwanie dostępu do kluczy prywatnych maszyn wirtualnych z systemem Linux w usłudze Azure Key Vault (AKV) | Nie. | Tak | Tak |
| Połączenie do maszyny wirtualnej z systemem Linux przy użyciu protokołu SSH | Tak | Tak | Tak |
| Połączenie do maszyny wirtualnej z systemem Windows przy użyciu protokołu RDP | Tak | Tak | Tak |
| Połączenie do maszyny wirtualnej z systemem Linux przy użyciu protokołu RDP | Nie | Nie. | Tak |
| Połączenie do maszyny wirtualnej z systemem Windows przy użyciu protokołu SSH | Nie | Nie. | Tak |
| Określanie niestandardowego portu wejściowego | Nie | Nie. | Tak |
| Połączenie do maszyn wirtualnych przy użyciu interfejsu wiersza polecenia platformy Azure | Nie | Nie. | Tak |
| Skalowanie hostów | Nie | Nie. | Tak |
| Przekazywanie lub pobieranie plików | Nie | Nie. | Tak |
| Uwierzytelnianie Kerberos | Nie. | Tak | Tak |
| Link do udostępniania | Nie | Nie. | Tak |
| Połączenie do maszyn wirtualnych za pośrednictwem adresu IP | Nie | Nie. | Tak |
| Dane wyjściowe audio maszyny wirtualnej | Tak | Tak | Tak |
| Wyłączanie kopiowania/wklejania (klienci internetowi) | Nie | Nie. | Tak |
Jednostka SKU dla deweloperów (wersja zapoznawcza)
Jednostka SKU dewelopera usługi Bastion to nowa, tańsza, uproszczona jednostka SKU. Ta jednostka SKU jest idealna dla użytkowników tworzenia i testowania, którzy chcą bezpiecznie łączyć się z maszynami wirtualnymi i nie potrzebują dodatkowych funkcji ani skalowania. Możesz nawiązać połączenie z jedną maszyną wirtualną platformy Azure naraz bezpośrednio za pośrednictwem strony Łączenie maszyny wirtualnej.
Jednostka SKU dewelopera ma inne wymagania i ograniczenia niż inne warstwy jednostki SKU. Aby uzyskać więcej informacji i kroków wdrażania, zobacz Wdrażanie usługi Bastion automatycznie — jednostka SKU dla deweloperów.
Jednostka SKU dla deweloperów (wersja zapoznawcza) jest obecnie dostępna w następujących regionach:
- Środkowe stany USA — EUAP
- Wschodnie stany USA 2 — EUAP
- Zachodnio-środkowe stany USA
- Północno-środkowe stany USA
- Zachodnie stany USA
- Europa Północna
Uwaga
Komunikacja równorzędna sieci wirtualnych nie jest obecnie obsługiwana dla jednostki SKU dewelopera.
Określanie jednostki SKU
| Method | Wartość jednostki SKU | Linki |
|---|---|---|
| Azure Portal | Warstwa — deweloper | Szybki start |
| Azure Portal | Warstwa — Podstawowa | Szybki start |
| Azure Portal | Warstwa — Podstawowa lub Standardowa | Samouczek |
| Azure PowerShell | Warstwa — Podstawowa lub Standardowa | Instrukcje |
| Interfejs wiersza polecenia platformy Azure | Warstwa — Podstawowa lub Standardowa | Instrukcje |
Uaktualnianie jednostki SKU
Zawsze można uaktualnić jednostkę SKU , aby dodać więcej funkcji.
Uwaga
Obniżenie poziomu jednostki SKU nie jest obsługiwane. Aby obniżyć dół, musisz usunąć i ponownie utworzyć usługę Azure Bastion.
To ustawienie można skonfigurować przy użyciu następującej metody:
| Method | Wartość | Linki |
|---|---|---|
| Azure Portal | Warstwa | Instrukcje |
Podsieć usługi Azure Bastion
Ważne
W przypadku zasobów usługi Azure Bastion wdrożonych w dniu 2 listopada 2021 r. minimalny rozmiar usługi AzureBastionSubnet to /26 lub większy (/25, /24 itp.). Wszystkie zasoby usługi Azure Bastion wdrożone w podsieciach o rozmiarze /27 przed tą datą nie mają wpływu na tę zmianę i będą nadal działać, ale zdecydowanie zalecamy zwiększenie rozmiaru dowolnej istniejącej podsieci AzureBastionSubnet do /26 w przypadku wybrania możliwości skalowania hostów w przyszłości.
Podczas wdrażania usługi Azure Bastion przy użyciu dowolnej jednostki SKU z wyjątkiem jednostki SKU dla deweloperów usługa Bastion wymaga dedykowanej podsieci o nazwie AzureBastionSubnet. Tę podsieć należy utworzyć w tej samej sieci wirtualnej, w której chcesz wdrożyć usługę Azure Bastion. Podsieć musi mieć następującą konfigurację:
- Nazwa podsieci musi być azureBastionSubnet.
- Rozmiar podsieci musi być /26 lub większy (/25, /24 itp.).
- W przypadku skalowania hostów zaleca się użycie podsieci /26 lub większej. Użycie mniejszej przestrzeni podsieci ogranicza liczbę jednostek skalowania. Aby uzyskać więcej informacji, zobacz sekcję Skalowanie hostów w tym artykule.
- Podsieć musi znajdować się w tej samej sieci wirtualnej i grupie zasobów co host bastionu.
- Podsieć nie może zawierać innych zasobów.
To ustawienie można skonfigurować przy użyciu następujących metod:
| Method | Wartość | Linki |
|---|---|---|
| Azure Portal | Podsieć | Szybki start Samouczek |
| Azure PowerShell | -subnetName | Polecenie cmdlet |
| Interfejs wiersza polecenia platformy Azure | --subnet-name | Polecenia |
Publiczny adres IP
Wdrożenia usługi Azure Bastion wymagają publicznego adresu IP, z wyjątkiem wdrożeń jednostek SKU dla deweloperów. Publiczny adres IP musi mieć następującą konfigurację:
- Jednostka SKU publicznego adresu IP musi mieć wartość Standardowa.
- Metoda przypisania/alokacji publicznego adresu IP musi być statyczna.
- Nazwa publicznego adresu IP to nazwa zasobu, za pomocą której chcesz odwoływać się do tego publicznego adresu IP.
- Możesz użyć już utworzonego publicznego adresu IP, o ile spełnia on kryteria wymagane przez usługę Azure Bastion i nie jest jeszcze używany.
To ustawienie można skonfigurować przy użyciu następujących metod:
| Method | Wartość | Linki |
|---|---|---|
| Azure Portal | Publiczny adres IP | Azure Portal |
| Azure PowerShell | -PublicIpAddress | Polecenie cmdlet |
| Interfejs wiersza polecenia platformy Azure | --public-ip create | Polecenia |
Wystąpienia i skalowanie hostów
Wystąpienie to zoptymalizowana maszyna wirtualna platformy Azure tworzona podczas konfigurowania usługi Azure Bastion. Jest ona w pełni zarządzana przez platformę Azure i uruchamia wszystkie procesy wymagane dla usługi Azure Bastion. Wystąpienie jest również nazywane jednostką skalowania. Nawiąż połączenie z maszynami wirtualnymi klienta za pośrednictwem wystąpienia usługi Azure Bastion. Podczas konfigurowania usługi Azure Bastion przy użyciu jednostki SKU w warstwie Podstawowa tworzone są dwa wystąpienia. Jeśli używasz jednostki SKU w warstwie Standardowa, możesz określić liczbę wystąpień (z co najmniej dwoma wystąpieniami). Jest to nazywane skalowaniem hostów.
Każde wystąpienie może obsługiwać 20 współbieżnych połączeń RDP i 40 współbieżnych połączeń SSH dla średnich obciążeń (zobacz Limity subskrypcji platformy Azure i limity przydziału , aby uzyskać więcej informacji). Liczba połączeń na wystąpienia zależy od akcji, które są podejmowane podczas nawiązywania połączenia z maszyną wirtualną klienta. Jeśli na przykład wykonujesz operacje intensywnie korzystające z danych, spowoduje to większe obciążenie dla wystąpienia do przetworzenia. Po przekroczeniu współbieżnych sesji wymagana jest inna jednostka skalowania (wystąpienie).
Wystąpienia są tworzone w podsieci AzureBastionSubnet. Aby umożliwić skalowanie hostów, podsieć AzureBastionSubnet powinna mieć wartość /26 lub większą. Użycie mniejszej podsieci ogranicza liczbę wystąpień, które można utworzyć. Aby uzyskać więcej informacji na temat podsieci AzureBastionSubnet, zobacz sekcję podsieci w tym artykule.
To ustawienie można skonfigurować przy użyciu następujących metod:
| Method | Wartość | Linki | Wymaga jednostki SKU w warstwie Standardowa |
|---|---|---|---|
| Azure Portal | Liczba wystąpień | Instrukcje | Tak |
| Azure PowerShell | ScaleUnit | Instrukcje | Tak |
Porty niestandardowe
Możesz określić port, którego chcesz użyć do nawiązania połączenia z maszynami wirtualnymi. Domyślnie porty przychodzące używane do nawiązywania połączenia to 3389 dla protokołu RDP i 22 dla protokołu SSH. Jeśli skonfigurujesz niestandardową wartość portu, określ wartość podczas nawiązywania połączenia z maszyną wirtualną.
Niestandardowe wartości portów są obsługiwane tylko dla jednostki SKU w warstwie Standardowa.
Link do udostępniania
Funkcja Link do udostępniania usługi Bastion umożliwia użytkownikom łączenie się z zasobem docelowym przy użyciu usługi Azure Bastion bez uzyskiwania dostępu do witryny Azure Portal.
Gdy użytkownik bez poświadczeń platformy Azure kliknie link do udostępniania, zostanie otwarta strona internetowa z monitem użytkownika o zalogowanie się do zasobu docelowego za pośrednictwem protokołu RDP lub SSH. Użytkownicy uwierzytelniają się przy użyciu nazwy użytkownika i hasła lub klucza prywatnego, w zależności od tego, co skonfigurowano w witrynie Azure Portal dla tego zasobu docelowego. Użytkownicy mogą łączyć się z tymi samymi zasobami, z którymi można obecnie nawiązać połączenie za pomocą usługi Azure Bastion: maszyn wirtualnych lub zestawu skalowania maszyn wirtualnych.
| Method | Wartość | Linki | Wymaga jednostki SKU w warstwie Standardowa |
|---|---|---|---|
| Azure Portal | Link do udostępniania | Ustaw opcję | Tak |
Strefy dostępności
Niektóre regiony obsługują możliwość wdrażania usługi Azure Bastion w strefie dostępności (lub wielu w przypadku nadmiarowości strefy). Aby wdrożyć strefowo, wdróż usługę Bastion przy użyciu ręcznie określonych ustawień (nie wdrażaj przy użyciu ustawień domyślnych automatycznych). Określ żądane strefy dostępności w czasie wdrażania. Nie można zmienić dostępności strefowej po wdrożeniu usługi Bastion.
Obsługa Strefy dostępności jest obecnie dostępna w wersji zapoznawczej. W wersji zapoznawczej dostępne są następujące regiony:
- Wschodnie stany USA
- Australia Wschodnia
- Wschodnie stany USA 2
- Środkowe stany USA
- Katar Środkowy
- Północna Republika Południowej Afryki
- West Europe
- Zachodnie stany USA 2
- Europa Północna
- Szwecja Środkowa
- Południowe Zjednoczone Królestwo
- Kanada Środkowa
Następne kroki
Aby uzyskać często zadawane pytania, zobacz Często zadawane pytania dotyczące usługi Azure Bastion.