Om Konfigurationsinställningar för Bastion
I avsnitten i den här artikeln beskrivs resurser och inställningar för Azure Bastion.
SKU:er
En SKU kallas även för en nivå. Azure Bastion stöder flera SKU-nivåer. När du konfigurerar Bastion väljer du SKU-nivån. Du bestämmer SKU-nivån baserat på de funktioner som du vill använda. I följande tabell visas tillgängligheten för funktioner per motsvarande SKU.
| Funktion | Utvecklar-SKU | Grundläggande SKU | Standard-SKU | Premium-SKU |
|---|---|---|---|---|
| Anslut att rikta in sig på virtuella datorer i samma virtuella nätverk | Ja | Ja | Ja | Ja |
| Anslut att rikta in sig på virtuella datorer i peer-kopplade virtuella nätverk | Nej | Ja | Ja | Ja |
| Stöd för samtidiga anslutningar | Nej | Ja | Ja | Ja |
| Åtkomst till privata Nycklar för virtuella Linux-datorer i Azure Key Vault (AKV) | Nej | Ja | Ja | Ja |
| Anslut till en virtuell Linux-dator med SSH | Ja | Ja | Ja | Ja |
| Anslut till en virtuell Windows-dator med RDP | Ja | Ja | Ja | Ja |
| Anslut till en virtuell Linux-dator med RDP | Nej | Nej | Ja | Ja |
| Anslut till en virtuell Windows-dator med hjälp av SSH | Nej | Nej | Ja | Ja |
| Ange anpassad inkommande port | Nej | Nej | Ja | Ja |
| Anslut till virtuella datorer med Hjälp av Azure CLI | Nej | Nej | Ja | Ja |
| Värdskalning | Nej | Nej | Ja | Ja |
| Ladda upp eller ladda ned filer | Nej | Nej | Ja | Ja |
| Kerberos-autentisering | Nej | Ja | Ja | Ja |
| Delningsbar länk | Nej | Nej | Ja | Ja |
| Anslut till virtuella datorer via IP-adress | Nej | Nej | Ja | Ja |
| Utdata från vm-ljud | Ja | Ja | Ja | Ja |
| Inaktivera kopiera/klistra in (webbaserade klienter) | Nej | Nej | Ja | Ja |
| Sessionsinspelning | Nej | Nej | Nej | Ja |
| Distribution endast privat | Nej | Nej | Nej | Ja |
Utvecklar-SKU
Bastion Developer SKU är en kostnadsfri, enkel SKU. Den här SKU:n är perfekt för Dev/Test-användare som vill ansluta säkert till sina virtuella datorer, men inte behöver ytterligare Bastion-funktioner eller värdskalning. Med utvecklar-SKU:n kan du ansluta till en virtuell Azure-dator i taget direkt via den virtuella datorns anslutningssida.
När du distribuerar Bastion med utvecklar-SKU:n skiljer sig distributionskraven från när du distribuerar med andra SKU:er. När du skapar en skyddsvärd distribueras vanligtvis en värd till AzureBastionSubnet i ditt virtuella nätverk. Bastion-värden är dedikerad för din användning. När du använder utvecklar-SKU:n distribueras inte en skyddsvärd till ditt virtuella nätverk och du behöver inget AzureBastionSubnet. Developer SKU Bastion-värden är dock inte en dedikerad resurs. I stället är det en del av en delad pool.
Eftersom skyddsresursen Developer SKU inte är dedikerad är funktionerna för utvecklar-SKU:n begränsade. Se avsnittet SKU för Bastion-konfigurationsinställningar för funktioner som anges av SKU. Du kan alltid uppgradera Developer SKU till en högre SKU om du behöver stöd för fler funktioner. Se Uppgradera en SKU.
Utvecklar-SKU:n är för närvarande tillgänglig i följande regioner:
- Centrala USA EUAP
- Östra USA 2 EUAP
- Västra centrala USA
- Norra centrala USA
- Västra USA
- Europa, norra
Kommentar
VNet-peering stöds för närvarande inte för utvecklar-SKU:n.
Premium SKU (förhandsversion)
Premium SKU är en ny SKU som har stöd för Bastion-funktioner som Sessionsinspelning och Endast privat bastion. När du distribuerar bastion väljer du bara Premium SKU om du behöver de funktioner som stöds.
Ange SKU
| Metod | SKU-värde | Länkar |
|---|---|---|
| Azure Portal | Nivå – Utvecklare | Snabbstart |
| Azure Portal | Nivå – Grundläggande | Snabbstart |
| Azure Portal | Nivå – Grundläggande eller högre | Självstudie |
| Azure PowerShell | Nivå – Grundläggande eller högre | Anvisningar |
| Azure CLI | Nivå – Grundläggande eller högre | Anvisningar |
Uppgradera en SKU
Du kan alltid uppgradera en SKU för att lägga till fler funktioner. Mer information finns i Uppgradera en SKU.
Kommentar
Det går inte att nedgradera en SKU. Om du vill nedgradera måste du ta bort och återskapa Azure Bastion.
Azure Bastion-undernät
Viktigt!
För Azure Bastion-resurser som distribueras den 2 november 2021 eller senare är den minsta Storleken på AzureBastionSubnet /26 eller större (/25, /24 osv.). Alla Azure Bastion-resurser som distribueras i undernät av storlek /27 före det här datumet påverkas inte av den här ändringen och fortsätter att fungera, men vi rekommenderar starkt att du ökar storleken på alla befintliga AzureBastionSubnet till /26 om du väljer att dra nytta av värdskalning i framtiden.
När du distribuerar Azure Bastion med någon SKU förutom Developer SKU kräver Bastion ett dedikerat undernät med namnet AzureBastionSubnet. Du måste skapa det här undernätet i samma virtuella nätverk som du vill distribuera Azure Bastion till. Undernätet måste ha följande konfiguration:
- Undernätets namn måste vara AzureBastionSubnet.
- Undernätets storlek måste vara /26 eller större (/25, /24 osv.).
- För värdskalning rekommenderas ett /26 eller större undernät. Om du använder ett mindre undernätsutrymme begränsas antalet skalningsenheter. Mer information finns i avsnittet Värdskalning i den här artikeln.
- Undernätet måste finnas i samma virtuella nätverk och resursgrupp som skyddsvärden.
- Undernätet får inte innehålla andra resurser.
Du kan konfigurera den här inställningen med hjälp av följande metoder:
| Metod | Värde | Länkar |
|---|---|---|
| Azure Portal | Undernät | Snabbstart Självstudie |
| Azure PowerShell | -subnetName | Cmdlet |
| Azure CLI | --subnet-name | Kommandot |
Offentlig IP-adress
Azure Bastion-distributioner, förutom Developer SKU och Private-only, kräver en offentlig IP-adress. Den offentliga IP-adressen måste ha följande konfiguration:
- Den offentliga IP-adress-SKU:n måste vara Standard.
- Den offentliga IP-adresstilldelningen/allokeringsmetoden måste vara statisk.
- Namnet på den offentliga IP-adressen är resursnamnet som du vill referera till den offentliga IP-adressen med.
- Du kan välja att använda en offentlig IP-adress som du redan har skapat, så länge den uppfyller de kriterier som krävs av Azure Bastion och inte redan används.
Du kan konfigurera den här inställningen med hjälp av följande metoder:
| Metod | Värde | Länkar |
|---|---|---|
| Azure Portal | Offentlig IP-adress | Azure Portal |
| Azure PowerShell | -PublicIpAddress | Cmdlet |
| Azure CLI | --public-ip create | Kommandot |
Instanser och värdskalning
En instans är en optimerad virtuell Azure-dator som skapas när du konfigurerar Azure Bastion. Den hanteras helt av Azure och kör alla processer som behövs för Azure Bastion. En instans kallas även för en skalningsenhet. Du ansluter till virtuella klientdatorer via en Azure Bastion-instans. När du konfigurerar Azure Bastion med hjälp av Basic SKU skapas två instanser. Om du använder Standard SKU eller högre kan du ange antalet instanser (med minst två instanser). Detta kallas värdskalning.
Varje instans kan stödja 20 samtidiga RDP-anslutningar och 40 samtidiga SSH-anslutningar för medelstora arbetsbelastningar (mer information finns i Begränsningar och kvoter för Azure-prenumerationer ). Antalet anslutningar per instans beror på vilka åtgärder du vidtar när du är ansluten till den virtuella klientdatorn. Om du till exempel gör något dataintensivt skapar det en större belastning för instansen att bearbeta. När de samtidiga sessionerna har överskridits krävs en annan skalningsenhet (instans).
Instanser skapas i AzureBastionSubnet. För att tillåta värdskalning bör AzureBastionSubnet vara /26 eller större. Om du använder ett mindre undernät begränsas antalet instanser som du kan skapa. Mer information om AzureBastionSubnet finns i avsnittet undernät i den här artikeln.
Du kan konfigurera den här inställningen med hjälp av följande metoder:
| Metod | Värde | Länkar | Kräver standard-SKU eller högre |
|---|---|---|---|
| Azure Portal | Antal instanser | Anvisningar | Ja |
| Azure PowerShell | ScaleUnit | Anvisningar | Ja |
Anpassade portar
Du kan ange den port som du vill använda för att ansluta till dina virtuella datorer. Som standard är de inkommande portar som används för att ansluta 3389 för RDP och 22 för SSH. Om du konfigurerar ett anpassat portvärde anger du det värdet när du ansluter till den virtuella datorn.
Anpassade portvärden stöds endast för standard-SKU:n eller högre.
Delningsbar länk
Med funktionen Bastion Shareable Link kan användare ansluta till en målresurs med Hjälp av Azure Bastion utan att komma åt Azure-portalen.
När en användare utan Azure-autentiseringsuppgifter klickar på en delningsbar länk öppnas en webbsida som uppmanar användaren att logga in på målresursen via RDP eller SSH. Användare autentiserar med användarnamn och lösenord eller privat nyckel, beroende på vad du har konfigurerat i Azure-portalen för målresursen. Användare kan ansluta till samma resurser som du för närvarande kan ansluta till med Azure Bastion: virtuella datorer eller vm-skalningsuppsättningar.
| Metod | Värde | Länkar | Kräver standard-SKU eller högre |
|---|---|---|---|
| Azure Portal | Delningsbar länk | I | Ja |
Distribution endast privat
Privata Bastion-distributioner låser arbetsbelastningar från slutpunkt till slutpunkt genom att skapa en distribution som inte kan dirigeras via Internet av Bastion som endast tillåter åtkomst till privata IP-adresser. Endast privata Bastion-distributioner tillåter inte anslutningar till bastionsvärden via offentlig IP-adress. En vanlig Azure Bastion-distribution gör det däremot möjligt för användare att ansluta till skyddsvärden med hjälp av en offentlig IP-adress. Mer information finns i Distribuera Bastion som endast privat.
Sessionsinspelning
När inspelningsfunktionen för Azure Bastion-sessionen är aktiverad kan du registrera de grafiska sessionerna för anslutningar till virtuella datorer (RDP och SSH) via skyddsvärden. När sessionen har stängts eller kopplats från lagras inspelade sessioner i en blobcontainer i ditt lagringskonto (via SAS-URL). När en session är frånkopplad kan du komma åt och visa dina inspelade sessioner i Azure-portalen på sidan Sessionsinspelning. Sessionsinspelning kräver Bastion Premium SKU. Mer information finns i Bastion-sessionsinspelning.
Tillgänglighetszoner
Vissa regioner stöder möjligheten att distribuera Azure Bastion i en tillgänglighetszon (eller flera, för zonredundans). Distribuera Bastion zonindelad med manuellt angivna inställningar (distribuera inte med hjälp av de automatiska standardinställningarna). Ange önskade tillgänglighetszoner vid tidpunkten för distributionen. Du kan inte ändra zontillgänglighet när Bastion har distribuerats.
Stöd för Tillgänglighetszoner finns för närvarande i förhandsversion. Under förhandsversionen är följande regioner tillgängliga:
- USA, östra
- Australien, östra
- USA, östra 2
- Centrala USA
- Qatar, centrala
- Sydafrika, norra
- Västeuropa
- Västra USA 2
- Europa, norra
- Sverige, centrala
- Södra Storbritannien
- Kanada, centrala
Nästa steg
Vanliga frågor och svar finns i Vanliga frågor och svar om Azure Bastion.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för