你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
关于 Bastion 配置设置
本文中的各个部分介绍 Azure Bastion 的资源和设置。
SKU
SKU 也称为“层”。 Azure Bastion 支持多个 SKU 层级。 配置 Bastion 时,请选择 SKU 层级。 根据要使用的功能决定 SKU 层级。 下表显示了每个相应 SKU 的功能的可用性。
功能 | 开发人员 SKU | 基本 SKU | 标准 SKU | 高级 SKU |
---|---|---|---|---|
连接到同一虚拟网络中的目标 VM | 是 | 是 | 是 | 是 |
连接到对等互连虚拟网络中的目标 VM | 否 | 是 | 是 | 是 |
支持并发连接 | 否 | 是 | 是 | 是 |
访问 Azure Key Vault (AKV) 中的 Linux VM 私钥 | 否 | 是 | 是 | 是 |
使用 SSH 连接到 Linux VM | 是 | 是 | 是 | 是 |
使用 RDP 连接到 Windows VM | 是 | 是 | 是 | 是 |
使用 RDP 连接到 Linux VM | 否 | No | 是 | 是 |
使用 SSH 连接到 Windows VM | 否 | No | 是 | 是 |
指定自定义入站端口 | 否 | No | 是 | 是 |
使用 Azure CLI 连接到 VM | 否 | No | 是 | 是 |
主机缩放 | 否 | No | 是 | 是 |
上传或下载文件 | 否 | No | 是 | 是 |
Kerberos 身份验证 | 否 | 是 | 是 | 是 |
可共享链接 | 否 | No | 是 | 是 |
通过 IP 地址连接到 VM | 否 | No | 是 | 是 |
VM 音频输出 | 是 | 是 | 是 | 是 |
禁用复制/粘贴(基于 Web 的客户端) | 否 | No | 是 | 是 |
会话录制 | 否 | No | No | 是 |
仅限专用部署 | 否 | No | No | 是 |
开发人员 SKU
Bastion 开发人员 SKU 是一种免费的轻型 SKU。 此 SKU 非常适合想要安全连接到其 VM,但不需要其他 Bastion 功能或托管缩放的开发/测试用户。 使用开发人员 SKU,可以通过虚拟机连接页一次直接连接到一个 Azure VM。
使用开发人员 SKU 部署 Bastion 时,部署要求不同于使用其他 SKU 进行的部署。 通常,创建堡垒主机时,主机将部署到虚拟网络中的 AzureBastionSubnet。 Bastion 主机专供你使用。 使用开发人员 SKU 时,堡垒主机不会部署到虚拟网络,并且你不需要 AzureBastionSubnet。 但是,开发人员 SKU 堡垒主机不是专用资源, 而是共享池的一部分。
由于开发人员 SKU 堡垒资源不专用,因此开发人员 SKU 的功能会受到限制。 请参阅 Bastion 配置设置的 SKU 部分,了解 SKU 列出的功能。 如果需要支持更多功能,可随时将开发人员 SKU 升级到更高级别的 SKU。 请参阅“升级 SKU”。
开发人员 SKU 目前在以下区域提供:
- 美国中部 EUAP
- 美国东部 2 EUAP
- 美国中西部
- 美国中北部
- 美国西部
- 北欧
注意
开发人员 SKU 目前不支持 VNet 对等互连。
高级 SKU(预览版)
高级 SKU 是一个新的 SKU,支持 Bastion 功能,例如会话录制和仅专用 Bastion。 部署 Bastion 时,建议仅当需要其支持的功能时,才选择高级 SKU。
指定 SKU
方法 | SKU 值 | 链接 |
---|---|---|
Azure 门户 | 层级 - 开发人员 | 快速入门 |
Azure 门户 | 层级 - 基本 | 快速入门 |
Azure 门户 | 层 - 基本或更高版本 | 教程 |
Azure PowerShell | 层 - 基本或更高版本 | 操作方法 |
Azure CLI | 层 - 基本或更高版本 | 操作方法 |
升级 SKU
可随时升级 SKU 来添加更多功能。 有关详细信息,请参阅升级 SKU。
注意
不支持降级 SKU。 若要降级,必须删除并重新创建 Azure Bastion。
Azure Bastion 子网
重要
对于在 2021 年 11 月 2 日或之后部署的 Azure Bastion 资源,最小的 AzureBastionSubnet 大小为 /26 或更大(/25、/24 等)。 在此日期之前部署在大小为 /27 的子网中的所有 Azure Bastion 资源不受此更改的影响,并且将会继续工作,但强烈建议将任何现有的 AzureBastionSubnet 的大小增加到 /26,以防你未来会选择利用主机缩放。
使用除开发人员 SKU 以外的任何 SKU 部署 Azure Bastion 时,Bastion 需要一个名为 AzureBastionSubnet 的专用子网。 必须在要将 Azure Bastion 部署到的同一虚拟网络中创建此子网。 该子网必须采用以下配置:
- 子网名称必须是 AzureBastionSubnet。
- 子网大小必须为 /26 或更大(/25、/24 等)。
- 要进行主机缩放,建议使用 /26 或更大的子网。 使用较小的子网空间会限制缩放单元的数量。 有关详细信息,请参阅本文的主机缩放部分。
- 该子网必须与堡垒主机位于同一虚拟网络和资源组中。
- 子网不能包含其他资源。
可使用以下方法配置此设置:
方法 | 值 | 链接 |
---|---|---|
Azure 门户 | 子网 | 快速入门 教程 |
Azure PowerShell | -subnetName | cmdlet |
Azure CLI | --subnet-name | command |
公共 IP 地址
Azure Bastion 部署需要公共 IP 地址,但开发人员 SKU 和专用部署除外。 该公共 IP 必须采用以下配置:
- 公共 IP 地址 SKU 必须为“标准”。
- 公共 IP 地址分配方法必须为“静态”。
- 公共 IP 地址名称是要用于引用此公共 IP 地址的资源名称。
- 可以选择使用已创建的公共 IP 地址,前提是该地址符合 Azure Bastion 所需的条件,并且未被使用。
可使用以下方法配置此设置:
方法 | 值 | 链接 |
---|---|---|
Azure 门户 | 公共 IP 地址 | Azure 门户 |
Azure PowerShell | -PublicIpAddress | cmdlet |
Azure CLI | --public-ip create | 命令 |
实例和主机缩放
实例是配置 Azure Bastion 时创建的已优化 Azure VM。 它完全由 Azure 管理,运行 Azure Bastion 所需的所有进程。 实例也称为缩放单元。 通过 Azure Bastion 实例连接到客户端 VM。 使用基本 SKU 配置 Azure Bastion 时,将创建两个实例。 如果使用标准 SKU 或更高版本,则可以指定实例数(至少为两个实例)。 这称为“主机缩放”。
每个实例都可以为中型工作负载支持 20 个并发的 RDP 连接和 40 个并发的 SSH 连接(有关详细信息,请参阅 Azure 订阅限制和配额)。 每个实例的连接数取决于连接到客户端 VM 时执行的操作。 例如,如果执行某种数据密集型操作,则会创建较大的负载供实例处理。 超过并发会话数后,需要创建其他缩放单元(实例)。
实例是在 AzureBastionSubnet 中创建的。 要进行主机缩放,AzureBastionSubnet 应为 /26 或更大的值。 使用较小的子网会限制可创建的实例数。 有关 AzureBastionSubnet 的详细信息,请参阅本文中的子网部分。
可使用以下方法配置此设置:
方法 | 值 | 链接 | 需要标准 SKU 或更高版本 |
---|---|---|---|
Azure 门户 | 实例计数 | 操作方法 | 是 |
Azure PowerShell | 缩放单元 | 操作方法 | 是 |
自定义端口
可以指定要用来连接到 VM 的端口。 默认情况下,对于 RDP 和 SSH,用于连接的入站端口分别为 3389 和 22。 如果配置自定义端口值,请在连接到 VM 时指定该值。
仅标准 SKU 或更高版本支持自定义端口值。
可共享链接
Bastion 的“可共享链接”功能允许用户通过 Azure Bastion 连接到目标资源,无需访问 Azure 门户。
当没有 Azure 凭据的用户单击可共享链接时,会打开一个网页,提示用户通过 RDP 或 SSH 登录到目标资源。 用户使用用户名和密码或私钥进行身份验证,具体取决于你在 Azure 门户中为该目标资源配置的内容。 用户可以连接到你当前可以使用 Azure Bastion 连接到的相同资源:VM 或虚拟机规模集。
方法 | 值 | 链接 | 需要标准 SKU 或更高版本 |
---|---|---|---|
Azure 门户 | 可共享链接 | 配置 | 是 |
仅限专用部署
仅专用 Bastion 部署将通过创建仅允许专用 IP 地址访问的非 Internet 可路由 Bastion 部署来锁定端到端工作负载。 仅专用 Bastion 部署不允许通过公共 IP 地址连接到堡垒主机。 相比之下,常规 Azure Bastion 部署允许用户使用公共 IP 地址连接到堡垒主机。 有关详细信息,请参阅“将 Bastion 部署为专用”。
会话录制
启用 Azure Bastion 会话录制功能后,可以通过堡垒主机录制与虚拟机(RDP 和 SSH)建立的连接的图形化会话。 会话关闭或断开连接后,所录制的会话将存储在你的存储帐户中的 Blob 容器中(通过 SAS URL)。 会话断开连接后,可以在 Azure 门户中的“会话录制”页上访问和查看录制的会话。 会话录制需要 Bastion Premium SKU。 有关详细信息,请参阅 Bastion 会话录制。
可用性区域
某些区域支持在一个可用性区域(或多个可用性区域,以实现区域冗余)中部署 Azure Bastion。 若要按区域部署,请使用手动指定的设置部署 Bastion(不要使用自动默认设置进行部署)。 在部署时指定所需的可用性区域。 部署 Bastion 后无法更改区域可用性。
对可用性区域的支持目前为预览版。 在预览版期间,在以下区域中可用:
- 美国东部
- 澳大利亚东部
- 美国东部 2
- Central US
- 卡塔尔中部
- 南非北部
- 西欧
- 美国西部 2
- 北欧
- 瑞典中部
- 英国南部
- 加拿大中部
后续步骤
有关常见问题解答,请参阅 Azure Bastion 常见问题解答。