Бастион Azure: часто задаваемые вопросы
Часто задаваемые вопросы о службе бастиона и развертывании
Какие браузеры поддерживаются?
Используемый браузер должен поддерживать HTML 5. Используйте браузер Microsoft Edge или Google Chrome в ОС Windows. Для Apple Mac используйте браузер Google Chrome. Microsoft Edge Chromium также поддерживают ОС Windows и Mac.
Как действуют цены?
Цены на Бастион Azure — это сочетание почасовой цены на основе SKU и экземпляров (единиц масштабирования), а также тарифы на передачу данных. Почасовая цена начинается с момента развертывания Бастиона независимо от использования исходящих данных. Последние сведения о ценах см. на странице цен на Бастион Azure.
Поддерживается ли IPv6?
Сейчас IPv6 не поддерживается. Служба "Бастион Azure" поддерживает только IPv4. Это означает, что ресурсу Бастиона вы можете назначить только общедоступный IP-адрес IPv4 и использовать Бастион для подключения к целевым виртуальным машинам с поддержкой IPv4. Бастион также можно использовать для подключения к целевым виртуальным машинам с двумя стеками, но через Бастион Azure вы сможете отправлять и получать только трафик IPv4.
Где Бастион Azure хранит данные клиента?
Бастион Azure не перемещает и не хранит данные клиента за пределами региона, в котором он развернут.
Поддерживает ли Бастион Azure зоны доступности?
Некоторые регионы поддерживают возможность развертывания Бастиона Azure в зоне доступности (или нескольких для избыточности зоны). Чтобы развернуть зонально, разверните бастион с помощью вручную указанных параметров (не развертывайте с помощью автоматических параметров по умолчанию). Укажите требуемые зоны доступности во время развертывания. Вы не можете изменить зональную доступность после развертывания Бастиона.
Поддержка Зоны доступности в настоящее время доступна в предварительной версии. Во время предварительной версии доступны следующие регионы:
- Восточная часть США
- Восточная Австралия
- Восточная часть США 2
- Центральная часть США
- Центральный Катар
- Северная часть ЮАР
- Западная Европа
- западная часть США 2
- Северная Европа
- Центральная Швеция
- южная часть Соединенного Королевства
- Центральная Канада
Если вы не можете выбрать зону, возможно, вы выбрали регион Azure, который еще не поддерживает зоны доступности.
Дополнительные сведения о зонах доступности см. в Зоны доступности.
Поддерживает ли Бастион Azure Виртуальную глобальную сеть?
Да, Бастион Azure можно использовать для развертываний Виртуальной глобальной сети. Однако развертывание Бастиона Azure в концентраторе Виртуальной глобальной сети не поддерживается. Вы можете развернуть Бастион Azure в периферийной виртуальной сети и использовать функцию подключения на основе IP-адресов для подключения к виртуальным машинам, развернутых в другой виртуальной сети через центр Виртуальная глобальная сеть. Если центр Azure Виртуальная глобальная сеть будет интегрирован с Брандмауэр Azure в качестве защищенного виртуального концентратора, azureBastionSubnet должен находиться в виртуальная сеть, где распространение маршрута по умолчанию 0.0.0.0/0 отключено на уровне подключения виртуальной сети.
Можно ли использовать Бастион Azure, если я принудительно туннелируя интернет-трафик обратно в локальное расположение?
Нет, если вы рекламируете маршрут по умолчанию (0.0.0.0/0) через ExpressRoute или VPN, и этот маршрут внедряется в виртуальная сеть, это приведет к разрыву службы Бастиона Azure.
Для успешного подключения к целевым ресурсам Бастион Azure должен иметь возможность взаимодействовать с определенными внутренними конечными точками. Поэтому вы можете использовать Бастион Azure с Частными зонами DNS Azure, если выбранное имя зоны не пересекается с именами этих внутренних конечных точек. Прежде чем развертывать ресурс Бастиона Azure, убедитесь в том, что виртуальная сеть узла не связана с частной зоной DNS, имя которой точно соответствует одному из следующих:
- management.azure.com
- blob.core.windows.net
- core.windows.net
- vaultcore.windows.net
- vault.azure.net
- azure.com
Вы можете использовать частную зону DNS, заканчивающуюся одним из имен в предыдущем списке (например, privatelink.blob.core.windows.net).
Использование Бастиона Azure с Частными зонами DNS Azure в национальных облаках не поддерживается.
Моя privatelink.azure.com не может разрешить management.privatelink.azure.com
Это может быть связано с частной зоной DNS для privatelink.azure.com, связанной с виртуальной сетью Бастиона, что приводит к разрешению management.azure.com CNAMEs для management.privatelink.azure.com за кулисами. Создайте запись CNAME в зоне privatelink.azure.com для management.privatelink.azure.com, чтобы arm-frontdoor-prod.trafficmanager.net обеспечить успешное разрешение DNS.
Поддерживает ли Бастион Azure Приватный канал?
Нет, Бастион Azure в настоящее время не поддерживает Приватный канал Azure.
Почему при использовании "Развернуть бастион" на портале возникает ошибка "Не удалось добавить подсеть"?
В настоящее время для большинства адресных пространств необходимо добавить подсеть с именем AzureBastionSubnet в виртуальную сеть перед выбором " Развернуть бастион".
Требуются ли специальные разрешения для развертывания Бастиона в AzureBastionSubnet?
Чтобы развернуть Бастион в AzureBastionSubnet, требуются разрешения на запись. Пример: Microsoft.Network/virtualNetworks/write.
Можно ли использовать подсеть Бастиона Azure размером /27 или меньше (/28, /29 и т. д.)?
Для ресурсов Бастиона Azure, развернутых 2 ноября 2021 г. или после этой даты, минимальный размер AzureBastionSubnet должен составлять /26 или больше (/25, /24 и т. д.). Все ресурсы Бастиона Azure, развернутые в подсетях размера /27 до этой даты, не затронуты этим изменением и будут продолжать работать. Однако мы настоятельно рекомендуем увеличить размер любой существующей подсети AzureBastionSubnet до /26, если вы решите воспользоваться преимуществами масштабирования узла в будущем.
Можно ли развернуть несколько ресурсов Azure в подсети Бастиона Azure?
№ Подсеть Бастиона Azure (AzureBastionSubnet) зарезервирована только для развертывания ресурса Бастиона Azure.
Поддерживаются ли определяемые пользователем маршруты в подсети Бастиона Azure?
№ Определяемые пользователем маршруты не поддерживаются в подсети Бастиона Azure.
В сценариях, в которых Бастион Azure и Брандмауэр Azure или виртуальный сетевой модуль (NVA) находятся в одной виртуальной сети, не нужно принудительно перенаправлять трафик из подсети Бастиона Azure в Брандмауэр Azure, так как обмен данными между Бастионом Azure и виртуальными машинами выполняется по частному каналу. См. сведения руководство по получению доступа к виртуальным машинам за Брандмауэром Azure с помощью Бастиона.
Какой номер SKU следует использовать?
Бастион Azure имеет несколько номеров SKU. Вы должны выбрать номер SKU на основе требований к подключению и функциям. Полный список уровней SKU и поддерживаемых подключений и функций см. в статье "Параметры конфигурации ".
Можно ли обновить номер SKU?
Да. Инструкции см. в разделе Обновление SKU. Дополнительные сведения о номерах SKU см. в статье Параметры конфигурации.
Можно ли перейти на номер SKU?
№ Понижение номера SKU не поддерживается. Дополнительные сведения о номерах SKU см. в статье Параметры конфигурации.
Поддерживает ли Бастион подключение к Виртуальному рабочему столу Azure?
Нет, подключение Бастиона к Виртуальному рабочему столу Azure не поддерживается.
Как устранить сбои развертывания?
Изучите все сообщения об ошибках и при необходимости подайте запрос на поддержку на портале Azure. Сбои развертывания могут привести к ограничениям подписки Azure, квотам и ограничениям. В частности, клиенты могут столкнуться с ограничением количества общедоступных IP-адресов, разрешенных для каждой подписки, что приводит к сбою развертывания Бастиона Azure.
Как включить службу "Бастион Azure" в план аварийного восстановления?
Бастион Azure развертывается в виртуальных сетях или одноранговых виртуальных сетях и связан с регионом Azure. Вы несете ответственность за развертывание Бастиона Azure в виртуальной сети сайта аварийного восстановления (DR). Если произошел сбой региона Azure, выполните операцию отработки отказа для виртуальных машин в регион аварийного восстановления. Затем для подключения к виртуальным машинам, которые сейчас развернуты в регионе аварийного восстановления, используйте узел службы "Бастион Azure", развернутый в этом регионе.
Поддерживает ли Бастион перемещение виртуальной сети в другую группу ресурсов?
№ При перемещении виртуальной сети в другую группу ресурсов (даже если она находится в той же подписке), сначала необходимо удалить Бастион из виртуальной сети, а затем перейти к перемещению виртуальной сети в новую группу ресурсов. После того как виртуальная сеть находится в новой группе ресурсов, вы можете развернуть Бастион в виртуальной сети.
Поддерживает ли Бастион избыточности зоны?
В настоящее время новые развертывания Бастиона по умолчанию не поддерживают избыточности зон. Ранее развернутые бастионы могут быть избыточными по зонам. Исключениями являются развертывания Бастиона в Центральной и Юго-Восточной Азии, которые поддерживают избыточности зон.
Поддерживает ли Бастион гостевые учетные записи Microsoft Entra?
Да, гостевые учетные записи Microsoft Entra можно предоставить доступ к Бастиону и подключиться к виртуальным машинам. Однако гостевые пользователи Microsoft Entra не могут подключаться к виртуальным машинам Azure с помощью проверки подлинности Microsoft Entra. Пользователи, не являющиеся гостевыми, поддерживаются с помощью проверки подлинности Microsoft Entra. Дополнительные сведения о проверке подлинности Microsoft Entra для виртуальных машин Azure (для не гостевых пользователей) см. в статье "Вход в виртуальную машину Windows в Azure" с помощью идентификатора Microsoft Entra.
Поддерживаются ли пользовательские домены с общими ссылками бастиона?
Нет, пользовательские домены не поддерживаются с общими ссылками бастиона. Пользователи получают ошибку сертификата при попытке добавить определенные домены в CN/SAN сертификата узла Бастиона.
Часто задаваемые вопросы о подключении к виртуальной машине и доступных функциях
Нужны ли какие-то роли для доступа к виртуальной машине?
Для подключения нужны такие роли:
- роль читателя на виртуальной машине;
- роль читателя на сетевом адаптере с частным IP-адресом для виртуальной машины;
- роль читателя для ресурса "Бастион Azure".
- Роль читателя в виртуальной сети целевой виртуальной машины (если развертывание Бастиона находится в одноранговой виртуальной сети).
Кроме того, пользователь должен иметь права (при необходимости) для подключения к виртуальной машине. Например, если пользователь подключается к виртуальной машине Windows через RDP и не является членом локальной группы Администратор istrators, он должен быть членом группы пользователей удаленных рабочих столов.
Почему я получаю сообщение об ошибке "ваш сеанс истек" до начала сеанса Бастиона?
Если вы перешли по URL-адресу непосредственно из другого сеанса браузера или вкладки, эта ошибка закономерна. Она призвана обеспечивать безопасность сеанса и возможность его запуска только на портале Azure. Войдите на портал Azure и заново начните сеанс.
Нужен ли моей виртуальной машине общедоступный IP-адрес для подключения через Бастион Azure?
№ При подключении к виртуальной машине с использованием Бастиона Azure общедоступный IP-адрес для этой виртуальной машины Azure не нужен. Служба бастиона открывает сеанс RDP/SSH/подключение к виртуальной машине через частный IP-адрес виртуальной машины в виртуальной сети.
Нужен ли клиент RDP или SSH?
№ Вы можете получить доступ к виртуальной машине на портале Azure с помощью браузера. Информацию о доступных подключениях и методах см. в статье Сведения о подключениях и функциях виртуальных машин.
Требуются ли пользователям определенные права на целевой виртуальной машине для подключений RDP?
Когда пользователь подключается к виртуальной машине Windows через RDP, он должен иметь права на целевую виртуальную машину. Если пользователь не является локальным администратором, добавьте пользователя в группу пользователей удаленных рабочих столов на целевой виртуальной машине.
Можно ли подключиться к виртуальной машине с помощью собственного клиента?
Да. Вы можете подключиться к виртуальной машине с локального компьютера с помощью собственного клиента. См. статью Подключение к виртуальной машине с помощью собственного клиента.
Нужно ли запускать агент на виртуальной машине Azure?
№ В браузере или на виртуальной машине Azure не нужно устанавливать агент или другое программное обеспечение. Служба "Бастион" работает без агента и не требует дополнительного программного обеспечения для RDP и SSH.
Какие функции поддерживаются для сеансов виртуальных машин?
Информацию о поддерживаемых функциях см. в статье Сведения о подключениях и функциях виртуальных машин.
Доступен ли сброс пароля для локальных пользователей, подключающихся через общую ссылку?
№ В некоторых организациях есть политики компании, требующие сброса пароля при первом входе пользователя в локальную учетную запись. При использовании общих ссылок пользователь не может изменить пароль, даже если может появиться кнопка "Сброс пароля".
Доступен ли удаленный аудиовыход для виртуальных машин?
Да. См. статью Сведения о подключениях и функциях виртуальных машин.
Поддерживает ли Бастион Azure передачу файлов?
Бастион Azure поддерживает передачу файлов между целевой виртуальной машиной и локальным компьютером с помощью Бастиона и клиента RDP или SSH. В настоящее время нельзя отправлять или скачивать файлы с помощью PowerShell или портала Azure. Дополнительные сведения см. в статье Отправка и скачивание файлов с помощью собственного клиента.
Работает ли усиление защиты с виртуальными машинами, присоединенными с помощью расширения AADJ?
Эта функция не работает с компьютерами, присоединенными к расширению виртуальной машины AADJ, с помощью пользователей Microsoft Entra. Дополнительные сведения см. в статье "Вход в виртуальную машину Windows в Azure" с помощью идентификатора Microsoft Entra.
Совместима ли Бастион с виртуальными машинами в качестве узлов сеансов RDS?
Бастион не поддерживает подключение к виртуальной машине, настроенной как узел сеанса RDS.
Какие раскладки клавиатуры поддерживаются во время удаленного сеанса с использованием службы "Бастион"?
В настоящее время служба "Бастион" Azure поддерживает в виртуальной машине следующие раскладки клавиатуры:
- en-us-qwerty
- en-gb-qwerty
- de-ch-qwertz
- de-de-qwertz
- fr-be-azerty
- fr-fr-azerty
- fr-ch-qwertz
- hu-hu-qwertz
- it-it-qwerty
- ja-jp-qwerty
- pt-br-qwerty
- es-es-qwerty
- es-latam-qwerty
- sv-se-qwerty
- tr-tr-qwerty
Чтобы установить правильное сопоставление клавиш для вашего целевого языка, необходимо установить раскладку клавиатуры на локальном компьютере и на целевой виртуальной машине в соответствии с вашим целевым языком. Обе клавиатуры должны быть установлены в соответствии с целевым языком, чтобы установить правильные сопоставления ключей на целевой виртуальной машине.
Чтобы задать целевой язык в качестве раскладки клавиатуры на рабочей станции Windows, перейдите к Параметры > времени и языку языка > и региону. В разделе "Предпочитаемые языки" выберите "Добавить язык" и добавьте свой целевой язык. После этого вы сможете просмотреть раскладки клавиатуры на панели инструментов. Чтобы задать раскладку клавиатуры "Английский (США)", выберите "ENG" на панели инструментов или нажмите клавиши Windows + ПРОБЕЛ, чтобы открыть окно с раскладками клавиатуры.
Существует ли решение клавиатуры для переключения фокуса между виртуальной машиной и браузером?
Пользователи могут использовать ctrl+SHIFT+ALT для эффективного переключения фокуса между виртуальной машиной и браузером.
Разделы справки вернуть фокус клавиатуры или мыши из экземпляра?
Дважды щелкните клавишу Windows в строке, чтобы вернуть фокус в окне Бастиона.
Какое максимальное разрешение экрана поддерживает Бастион?
В настоящее время поддерживается максимальное разрешение 1920x1080 (1080p).
Поддерживает ли Бастион Azure настройку часового пояса или перенаправление часового пояса для целевых виртуальных машин?
Бастион Azure в настоящее время не поддерживает перенаправление или настройку часового пояса. Параметры часового пояса для виртуальной машины можно обновить вручную после успешного подключения к гостевой ОС.
Будет ли существующий сеанс отключен во время обслуживания на узле Бастиона?
Да, существующие сеансы в целевом ресурсе Бастиона будут отключены во время обслуживания ресурса Бастиона.
Я подключаюсь к виртуальной машине с помощью политики JIT, требуются ли дополнительные разрешения?
Если пользователь подключается к виртуальной машине с помощью политики JIT, дополнительные разрешения не требуются. Дополнительные сведения о подключении к виртуальной машине с помощью политики JIT см. в статье "Включение JIT-доступа" на виртуальных машинах.
Часто задаваемые вопросы о пиринге виртуальных сетей
Можно ли по-прежнему развертывать несколько узлов Бастиона между одноранговыми виртуальными сетями?
Да. По умолчанию пользователь видит узел Бастиона, развернутый в той же виртуальной сети, в которой находится виртуальная машина. Однако в меню Подключение пользователь может видеть несколько узлов Бастиона, обнаруженных в одноранговых сетях. Они могут выбрать узел Бастиона, который предпочитает использовать для подключения к виртуальной машине, развернутой в виртуальной сети.
Если мой кэширующий узел виртуальных сетей развертывается в разных подписках, будет ли работать подключение через Бастион?
Да, подключение через Бастион будет продолжать работать для одноранговых виртуальных сетей в разных подписках для одного клиента. Подписки в двух разных арендаторах не поддерживаются. Чтобы увидеть Бастион в раскрывающемся меню Подключение, пользователь должен выбрать подписки, к которым у него есть доступ, в разделе Подписка > глобальная подписка.
У меня есть доступ к одноранговой виртуальной сети, но виртуальная машина, развернутая там, не отображается.
Убедитесь, что пользователь имеет доступ на чтение как к виртуальной машине, так и к одноранговой виртуальной сети. Кроме того, проверьте в IAM, что пользователь имеет доступ для чтения к следующим ресурсам:
- роль читателя на виртуальной машине;
- роль читателя на сетевом адаптере с частным IP-адресом для виртуальной машины;
- роль читателя для ресурса "Бастион Azure".
- Роль читателя в виртуальной сети (если нет пиринговой виртуальной сети).
| Разрешения | Description | Тип разрешения |
|---|---|---|
| Microsoft.Network/bastionHosts/read | Получение узла-бастиона | Действие |
| Microsoft.Network/virtualNetworks/BastionHosts/action | Получение ссылок узла-бастиона в виртуальной сети. | Действие |
| Microsoft.Network/virtualNetworks/bastionHosts/default/action | Получение ссылок узла-бастиона в виртуальной сети. | Действие |
| Microsoft.Network/networkInterfaces/read | Возвращает определение сетевого интерфейса. | Действие |
| Microsoft.Network/networkInterfaces/ipconfigurations/read | Возвращает определение IP-конфигурации сетевого интерфейса. | Действие |
| Microsoft.Network/virtualNetworks/read | Возвращает определение виртуальной сети. | Действие |
| Microsoft.Network/virtualNetworks/subnets/virtualMachines/read | Возвращает ссылки на все виртуальные машины в подсети виртуальной сети. | Действие |
| Microsoft.Network/virtualNetworks/virtualMachines/read | Возвращает ссылки на все виртуальные машины в виртуальной сети. | Действие |
Следующие шаги
Подробные сведения см. в статье Что такое Бастион Azure?