Udostępnij za pośrednictwem


Informacje o ustawieniach konfiguracji usługi Bastion

W sekcjach w tym artykule omówiono zasoby i ustawienia usługi Azure Bastion.

Jednostki SKU

SKU jest również znane jako poziom. Usługa Azure Bastion obsługuje wiele warstw jednostki SKU. Podczas konfigurowania usługi Bastion należy wybrać warstwę jednostki SKU. Decydujesz o warstwie jednostki SKU na podstawie funkcji, których chcesz użyć. W poniższej tabeli przedstawiono dostępność funkcji dla odpowiedniej jednostki SKU.

Funkcja Podstawowa jednostka magazynowa (SKU) Standardowy SKU Jednostka SKU w warstwie Premium
Nawiązywanie połączenia z docelowymi maszynami wirtualnymi w tej samej sieci wirtualnej Tak Tak Tak
Połącz się z docelowymi maszynami wirtualnymi w połączonych sieciach wirtualnych Tak Tak Tak
Obsługa połączeń współbieżnych Tak Tak Tak
Uzyskiwanie dostępu do kluczy prywatnych maszyn wirtualnych z systemem Linux w usłudze Azure Key Vault (AKV) Tak Tak Tak
Nawiązywanie połączenia z maszyną wirtualną z systemem Linux przy użyciu protokołu SSH Tak Tak Tak
Nawiązywanie połączenia z maszyną wirtualną z systemem Windows przy użyciu protokołu RDP Tak Tak Tak
Nawiązywanie połączenia z maszyną wirtualną z systemem Linux przy użyciu protokołu RDP Nie. Tak Tak
Nawiązywanie połączenia z maszyną wirtualną z systemem Windows przy użyciu protokołu SSH Nie. Tak Tak
Określanie niestandardowego portu wejściowego Nie. Tak Tak
Nawiązywanie połączenia z maszynami wirtualnymi przy użyciu interfejsu wiersza polecenia platformy Azure Nie. Tak Tak
Skalowanie hostów Nie. Tak Tak
Przekazywanie lub pobieranie plików Nie. Tak Tak
Uwierzytelnianie Kerberos Tak Tak Tak
Link do udostępniania Nie. Tak Tak
Nawiązywanie połączenia z maszynami wirtualnymi za pośrednictwem adresu IP Nie. Tak Tak
Wyjście audio VM Tak Tak Tak
Wyłączanie kopiowania/wklejania (klienci internetowi) Nie. Tak Tak
Nagrywanie sesji Nie. Nie. Tak
Wdrożenie tylko prywatne Nie. Nie. Tak

Deweloper Bastion

Wersja deweloperska Bastion to bezpłatne, lekkie rozwiązanie usługi Azure Bastion. Ta oferta jest idealna dla użytkowników tworzenia i testowania, którzy chcą bezpiecznie łączyć się z maszynami wirtualnymi, ale nie potrzebują dodatkowych funkcji usługi Bastion ani skalowania hostów. Bastion Developer umożliwia połączenie z jedną maszyną wirtualną platformy Azure naraz bezpośrednio ze strony połączeń maszyny wirtualnej.

W przypadku nawiązywania połączenia z deweloperem usługi Bastion wymagania dotyczące wdrażania różnią się od wdrożeń przy użyciu innych jednostek SKU. Zazwyczaj podczas tworzenia hosta bastionu, host jest wdrażany w podsieci AzureBastionSubnet w Twojej sieci wirtualnej. Host Bastion jest dedykowany do Twojego użytku, natomiast Bastion Developer nie jest. Ponieważ zasób dewelopera usługi Bastion nie jest dedykowany, funkcje dewelopera usługi Bastion są ograniczone. Zawsze możesz uaktualnić dewelopera Bastion do określonej wersji SKU , aby obsługiwać więcej funkcji. Zobacz Uaktualnij jednostkę SKU.

Bastion Developer jest obecnie dostępny w następujących regionach:

  • Australia Środkowa
  • Australia Wschodnia
  • Australia Południowo-Wschodnia
  • Brazylia Południowa
  • Kanada Środkowa
  • Kanada Wschodnia
  • Indie Środkowe
  • Środkowe stany USA
  • Centralna część USA — EUAP
  • Azja Wschodnia
  • Wschodnie stany USA 2
  • Wschodnie stany USA 2 — EUAP
  • Francja Środkowa
  • Niemcy Zachodnio-środkowe
  • Włochy Północne
  • Japonia Wschodnia
  • Japonia Zachodnia
  • Korea Środkowa
  • Korea Południowa
  • Meksyk Środkowy
  • Północno-środkowe stany USA
  • Europa Północna
  • Norwegia Wschodnia
  • Polska Środkowa
  • Północ Południowej Afryki
  • Indie Południowe
  • Hiszpania Środkowa
  • Azja Południowo-Wschodnia
  • Szwecja Środkowa
  • Szwajcaria Północna
  • Północne Zjednoczone Emiraty Arabskie
  • Południowe Zjednoczone Królestwo
  • Zachodnie Zjednoczone Królestwo
  • Europa Zachodnia
  • Zachodnie stany USA
  • Zachodnio-środkowe stany USA

Uwaga

Komunikacja równorzędna VNet nie jest obecnie obsługiwana dla Bastion Developer.

Jednostka SKU w warstwie Premium

Jednostka SKU w warstwie Premium to nowa jednostka SKU, która obsługuje funkcje usługi Bastion, takie jak rejestrowanie sesji i usługa Bastion tylko prywatna. Podczas wdrażania usługi Bastion zalecamy wybranie jednostki SKU Premium tylko wtedy, gdy potrzebujesz funkcji, które obsługuje.

Określ SKU

Metoda Wartość jednostki SKU Linki
Azure Portal Poziom — deweloper Szybki start
Azure Portal Poziom — Standardowy Szybki start
Azure Portal Warstwa — podstawowa lub wyższa Samouczek
Azure PowerShell Warstwa — podstawowa lub wyższa Instrukcje
Azure CLI Warstwa — podstawowa lub wyższa Instrukcje

Uaktualnij SKU

Zawsze można uaktualnić jednostkę SKU, aby dodać więcej funkcji. Aby uzyskać więcej informacji, zobacz Uaktualnij jednostkę SKU.

Uwaga

Obniżenie poziomu jednostki SKU nie jest obsługiwane. Aby obniżyć poziom, musisz usunąć i ponownie utworzyć usługę Azure Bastion.

Podsieć Azure Bastion

Ważne

W przypadku zasobów usługi Azure Bastion wdrożonych w dniu 2 listopada 2021 r. minimalny rozmiar usługi AzureBastionSubnet to /26 lub większy (/25, /24 itp.). Wszystkie zasoby usługi Azure Bastion wdrożone w podsieciach o rozmiarze /27 przed tą datą nie mają wpływu na tę zmianę i będą nadal działać, ale zdecydowanie zalecamy zwiększenie rozmiaru dowolnej istniejącej podsieci AzureBastionSubnet do /26 w przypadku wybrania możliwości skalowania hostów w przyszłości.

W przypadku wdrażania usługi Azure Bastion przy użyciu dowolnej jednostki SKU z wyjątkiem oferty dla deweloperów usługi Bastion usługa Bastion wymaga dedykowanej podsieci o nazwie AzureBastionSubnet. Tę podsieć należy utworzyć w tej samej sieci wirtualnej, w której chcesz wdrożyć usługę Azure Bastion. Podsieć musi mieć następującą konfigurację:

  • Nazwa podsieci musi być azureBastionSubnet.
  • Rozmiar podsieci musi być /26 lub większy (/25, /24 itp.).
  • W przypadku skalowania hostów zaleca się użycie podsieci /26 lub większej. Użycie mniejszej przestrzeni podsieci ogranicza liczbę jednostek skalowania. Aby uzyskać więcej informacji, zobacz sekcję Skalowanie hostów w tym artykule.
  • Podsieć musi znajdować się w tej samej sieci wirtualnej i grupie zasobów co host bastionu.
  • Podsieć nie może zawierać innych zasobów.

To ustawienie można skonfigurować przy użyciu następujących metod:

Metoda Wartość Linki
Azure Portal Podsieć Szybki start
Samouczek
Azure PowerShell -nazwaPodsieci cmdlet
Azure CLI --subnet-name polecenie

Publiczny adres IP

Wdrożenia usługi Azure Bastion, z wyjątkiem usługi Bastion Developer i Private-only, wymagają publicznego adresu IP. Publiczny adres IP musi mieć następującą konfigurację:

  • Jednostka SKU publicznego adresu IP musi mieć wartość Standardowa.
  • Metoda przypisania/alokacji publicznego adresu IP musi być statyczna.
  • Nazwa publicznego adresu IP to nazwa zasobu, za pomocą której chcesz odwoływać się do tego publicznego adresu IP.
  • Możesz użyć już utworzonego publicznego adresu IP, o ile spełnia on kryteria wymagane przez usługę Azure Bastion i nie jest jeszcze używany.

To ustawienie można skonfigurować przy użyciu następujących metod:

Metoda Wartość Linki
Azure Portal Publiczny adres IP Azure Portal
Azure PowerShell -AdresIPPubliczny cmdlet
Azure CLI --public-ip utworzyć polecenie

Wystąpienia i skalowanie hostów

Wystąpienie to zoptymalizowana maszyna wirtualna platformy Azure tworzona podczas konfigurowania usługi Azure Bastion. Jest ona w pełni zarządzana przez platformę Azure i uruchamia wszystkie procesy wymagane dla usługi Azure Bastion. Wystąpienie jest również nazywane jednostką skalowania. Możesz połączyć się z maszynami wirtualnymi klienta za pośrednictwem wystąpienia Azure Bastion. Podczas konfigurowania usługi Azure Bastion przy użyciu SKU Basic tworzone są dwa wystąpienia. Jeśli używasz jednostki SKU w warstwie Standardowa lub nowszej, możesz określić liczbę wystąpień (z co najmniej dwoma wystąpieniami). Jest to nazywane skalowaniem hostów.

Każde wystąpienie może obsługiwać 20 współbieżnych połączeń RDP i 40 współbieżnych połączeń SSH dla średnich obciążeń (zobacz Limity subskrypcji platformy Azure i przydziałów, aby uzyskać więcej informacji). Liczba połączeń na instancję zależy od czynności, które są podejmowane podczas połączenia z maszyną wirtualną klienta. Na przykład, jeśli wykonujesz operacje intensywnie korzystające z danych, powoduje to większe obciążenie instancji do przetworzenia. Gdy liczba współbieżnych sesji zostanie przekroczona, wymagana jest dodatkowa jednostka skalowania (instancja).

Instancje są tworzone w podsieci AzureBastionSubnet. Aby umożliwić skalowanie hostów, podsieć AzureBastionSubnet powinna mieć wartość /26 lub większą. Użycie mniejszej podsieci ogranicza liczbę wystąpień, które można utworzyć. Aby uzyskać więcej informacji na temat podsieci AzureBastionSubnet, zobacz sekcję podsieci w tym artykule.

To ustawienie można skonfigurować przy użyciu następujących metod:

Metoda Wartość Linki Wymaga SKU standardowego lub wyższego poziomu
Azure Portal Liczba wystąpień Instrukcje Tak
Azure PowerShell ScaleUnit Instrukcje Tak

Porty niestandardowe

Możesz określić port, którego chcesz użyć do nawiązania połączenia z maszynami wirtualnymi. Domyślnie porty przychodzące używane do nawiązywania połączenia to 3389 dla protokołu RDP i 22 dla protokołu SSH. Jeśli skonfigurujesz niestandardową wartość portu, określ wartość podczas nawiązywania połączenia z maszyną wirtualną.

Niestandardowe wartości portów są obsługiwane tylko dla jednostki SKU w warstwie Standardowa lub nowszej.

Funkcja udostępniania linku Bastion umożliwia użytkownikom łączenie się z zasobem docelowym przy użyciu usługi Azure Bastion bez uzyskiwania dostępu do portalu Azure.

Gdy użytkownik bez poświadczeń platformy Azure kliknie link do udostępniania, zostanie otwarta strona internetowa z monitem użytkownika o zalogowanie się do zasobu docelowego za pośrednictwem protokołu RDP lub SSH. Użytkownicy uwierzytelniają się przy użyciu nazwy użytkownika i hasła lub klucza prywatnego, w zależności od tego, co zostało skonfigurowane w witrynie Azure Portal dla tego zasobu docelowego. Użytkownicy mogą łączyć się z tymi samymi zasobami, z którymi można obecnie nawiązać połączenie za pomocą usługi Azure Bastion: maszyn wirtualnych lub zestawu skalowania maszyn wirtualnych.

Metoda Wartość Linki Wymaga SKU w wersji standardowej lub nowszej
Azure Portal Link do udostępniania Ustaw opcję Tak

Tylko prywatne wdrożenie

Wdrożenia usługi Bastion tylko w trybie prywatnym blokują kompleksowe obciążenia, tworząc wdrożenie usługi Bastion bez routingu internetowego, które zezwala tylko na dostęp do prywatnych adresów IP. Wdrożenia usługi Bastion tylko dla prywatnych nie zezwalają na połączenia z hostem bastionu za pośrednictwem publicznego adresu IP. Z kolei regularne wdrażanie usługi Azure Bastion umożliwia użytkownikom łączenie się z hostem bastionu przy użyciu publicznego adresu IP. Aby uzyskać więcej informacji, zobacz Deploy Bastion as private-only (Wdrażanie usługi Bastion jako tylko prywatnie).

Nagrywanie sesji

Po włączeniu funkcji nagrywania sesji usługi Azure Bastion można rejestrować sesje graficzne dla połączeń wykonanych z maszynami wirtualnymi (RDP i SSH) za pośrednictwem hosta bastionu. Po zamknięciu lub rozłączeniu sesji zarejestrowane sesje są przechowywane w kontenerze blobów na koncie przechowywania (za pośrednictwem adresu URL sygnatury dostępu współdzielonego). Po rozłączeniu sesji możesz uzyskać dostęp do zarejestrowanych sesji i wyświetlić je w witrynie Azure Portal na stronie Nagrywanie sesji. Rejestrowanie sesji wymaga jednostki SKU usługi Bastion Premium. Aby uzyskać więcej informacji, zobacz Rejestrowanie sesji Bastion.

Strefy dostępności

Niektóre regiony obsługują możliwość wdrażania usługi Azure Bastion w jednej lub kilku strefach dostępności (w celu redundancji strefowej). Aby wdrożyć strefowo, wdróż usługę Bastion przy użyciu ręcznie określonych ustawień (nie wdrażaj przy użyciu ustawień domyślnych automatycznych). Określ żądane strefy dostępności w czasie wdrażania. Nie można zmienić dostępności strefowej po wdrożeniu usługi Bastion.

Obsługa Strefy dostępności jest obecnie dostępna w wersji zapoznawczej. W wersji zapoznawczej dostępne są następujące regiony:

  • Wschodnie stany USA
  • Australia Wschodnia
  • Wschodnie stany USA 2
  • Środkowe stany USA
  • Katar Środkowy
  • Północna Republika Południowej Afryki
  • Europa Zachodnia
  • Zachodnie stany USA 2
  • Europa Północna
  • Szwecja Środkowa
  • Południowe Zjednoczone Królestwo
  • Kanada Środkowa

Następne kroki

Aby uzyskać często zadawane pytania, zobacz Często zadawane pytania dotyczące usługi Azure Bastion.