Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В разделах этой статьи идет речь о ресурсах и параметрах Бастиона Azure.
Подсеть Бастиона Azure
Внимание
Для ресурсов Бастиона Azure, развернутых 2 ноября 2021 г. или после этой даты, минимальный размер AzureBastionSubnet должен составлять /26 или больше (/25, /24 и т. д.). Все ресурсы Бастиона Azure, развернутые в подсетях размером /27 до этой даты, не затрагиваются этим изменением и будут продолжать работать. Однако мы настоятельно рекомендуем увеличить размер любого существующего AzureBastionSubnet до /26, если вы решите воспользоваться преимуществами масштабирования узла в будущем.
При развертывании Azure Bastion с использованием любого SKU, кроме предложения Bastion Developer, требуется выделенная подсеть, названная AzureBastionSubnet. Эту подсеть необходимо создать в той же виртуальной сети, где необходимо развернуть Бастион Azure. Подсеть должна иметь следующую конфигурацию:
- Именем подсети должно быть AzureBastionSubnet.
- Размер подсети должен быть /26 или больше (/25, /24 и т. д.).
- Для масштабирования узла рекомендуется использовать подсеть размером /26 или более крупную. При использовании подсети меньшего размера количество единиц масштабирования ограничено. Дополнительную информацию см. в разделе Масштабирование узла этой статьи.
- Подсеть должна находиться в той же виртуальной сети и группе ресурсов, что и узел Bastion.
- Подсеть не может содержать другие ресурсы.
Вы можете настроить этот параметр, используя следующие методы:
| Способ | Значение | Ссылки. |
|---|---|---|
| Портал Azure | Подсеть | Quickstart |
| Azure PowerShell | -subnetName | командлет |
| Azure CLI (интерфейс командной строки) | --subnet-name | command |
Общедоступный IP-адрес
Для развертываний Azure Bastion, кроме Bastion Developer и только Private, требуется общедоступный IP-адрес. Общедоступный IP-адрес должен иметь следующую конфигурацию:
- SKU общедоступного IP-адреса должен быть Стандартный.
- Метод назначения или распределения общедоступного IP-адреса должен быть статическим.
- Имя общедоступного IP-адреса — это имя ресурса, по которому можно будет ссылаться на этот общедоступный IP-адрес.
- Вы можете использовать уже созданный общедоступный IP-адрес, если он соответствует критериям, необходимым бастиону Azure, и он еще не используется.
Вы можете настроить этот параметр, используя следующие методы:
| Способ | Значение | Ссылки. |
|---|---|---|
| Портал Azure | Общедоступный IP-адрес | Портал Azure |
| Azure PowerShell | -Публичный IP-адрес | командлет |
| Azure CLI (интерфейс командной строки) | --public-ip создать | command |
Настройка общедоступных IP-адресов с настроенными зонами доступности
Сведения о создании и использовании общедоступных IP-адресов для зональных развертываний Бастиона см. в таблице ниже.
| Scenario | Зоны доступности бастиона | Зоны доступности общедоступных IP-адресов |
|---|---|---|
| Создание общедоступного IP-адреса | 1, 2, 3 | 1, 2, 3 |
| 1 | 1, 2, 3 | |
| Использование существующего общедоступного IP-адреса | 1, 2, 3 | 1, 2, 3 |
| 1 | 1, 2, 3 | |
| 0 | все общедоступные IP-адреса, зональные или нет |
Экземпляры и масштабирование хоста
Экземпляр — это оптимизированная виртуальная машина Azure, которая создается при настройке Azure Bastion. Azure сама полностью управляет каждым экземпляром. Экземпляр также называется единицей масштабирования. Вы подключаетесь к виртуальным машинам клиента через экземпляр Azure Bastion. При настройке Бастиона Azure с помощью номера SKU "Базовый" создаются два экземпляра. Если вы используете номер SKU категории "Стандартный" или более поздней версии, можно указать количество экземпляров. Этот процесс называется масштабированием узла.
Сведения о настройке масштабирования узлов см. в разделе "Настройка масштабирования узлов".
Пользовательские порты
Вы можете указать порт, который хотите использовать для подключения к виртуальным машинам. По умолчанию для подключения используются следующие входящие порты: 3389 (протокол RDP) и 22 (протокол SSH). Если вы используете пользовательский порт, укажите его значение при подключении к виртуальной машине.
Пользовательские значения портов поддерживаются только для SKU уровня "Стандартный" или выше.
Ссылка, доступная для общего доступа
Функция 'Ссылка для обмена' Azure Bastion позволяет пользователям подключаться к целевому ресурсу с помощью Azure Bastion без доступа к порталу Azure.
Когда пользователь без учетных данных Azure щелкает общую ссылку, откроется веб-страница, которая предложит пользователю войти в целевой ресурс через RDP или SSH. Пользователи проходят проверку подлинности с помощью имени пользователя и пароля или закрытого ключа в зависимости от того, что вы настроили в портал Azure для этого целевого ресурса. Пользователи могут подключаться к тем же ресурсам, к которым можно подключиться с помощью Бастиона Azure: виртуальных машин или масштабируемого набора виртуальных машин.
| Способ | Значение | Ссылки. | Требуется SKU уровня "Стандартный" или выше |
|---|---|---|---|
| Портал Azure | Ссылка для общего доступа | Настройка | Да |
Развертывание только для частного использования
Развертывания бастиона только для частной сети обеспечивают защиту рабочих нагрузок от начала до конца, создавая развертывание бастиона, недоступное через Интернет и позволяющее доступ только по частным IP-адресам. Развертывания бастиона с исключительно частным доступом не разрешают подключения к бастиону через общедоступный IP-адрес. В отличие от этого, обычное развертывание Бастиона Azure позволяет пользователям подключаться к узлу бастиона с помощью общедоступного IP-адреса. Дополнительные сведения см. в разделе «Развертывание бастиона в режиме только частного доступа».
Запись сеанса
Если включена функция записи сеанса Azure Бастиона, можно записать графические сеансы для подключений к виртуальным машинам (RDP и SSH) через узел бастиона. После закрытия или отключения сеанса записанные сеансы хранятся в контейнере BLOB в вашей учетной записи хранения посредством URL SAS. При отключении сеанса вы можете получить доступ к записанным сеансам и просмотреть их в портал Azure на странице записи сеансов. Для записи сеанса требуется номер SKU Бастиона Premium. Дополнительные сведения см. в записи сеансов Бастиона .
Зоны доступности
Некоторые регионы поддерживают возможность развертывания Azure Bastion в зоне доступности (или нескольких, для зональной избыточности). Чтобы развернуть по зонам, разверните бастион с помощью вручную указанных параметров (не развертывайте с помощью автоматических параметров по умолчанию). Укажите требуемые зоны доступности во время развертывания. Вы не можете изменить параметры зоны доступности после развертывания Бастиона Azure.
Поддержка Зоны доступности в настоящее время доступна в предварительной версии. Во время предварительной версии доступны следующие регионы:
- Восточная часть США
- Восточная Австралия
- Восточная часть США 2
- Центральная часть США
- Центральный Катар
- Северная часть ЮАР
- Западная Европа
- западная часть США 2
- Северная Европа
- Центральная Швеция
- южная часть Соединенного Королевства
- Центральная Канада
Следующие шаги
- Узнайте о часто задаваемых вопросах о Бастионе Azure.
- Узнайте о различных уровнях SKU Бастиона Azure и выберите подходящий для ваших требований.
- Узнайте, как оптимизировать затраты Бастиона Azure при сохранении безопасного удаленного доступа.
- Узнайте, как добавить в Бастион Azure дополнительные экземпляры (единицы масштабирования).