培训
模块
排查 Microsoft Azure 中虚拟机的连接问题 - Training
排查 Azure Bastion 的部署、连接和授权问题,以及虚拟机的实时访问问题。 AZ720 AZ-720 az-720 网络
认证
Microsoft Certified: Azure Virtual Desktop Specialty - Certifications
在 Microsoft Azure 上为任何设备计划、交付、管理和监视虚拟桌面体验和远程应用。
你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
浏览器必须支持 HTML 5。 使用 Windows 上的 Microsoft Edge 浏览器或 Google Chrome。 对于 Apple Mac,可使用 Google Chrome 浏览器。 Windows 和 Mac 上也支持 Microsoft Edge Chromium。
Azure Bastion 定价是基于 SKU、实例(缩放单元)以及数据传输速率的小时定价组合。 小时定价从部署 Bastion 的时刻开始计算,而无论出站数据的使用情况如何。 有关最新定价信息,请参阅 Azure Bastion 定价页。
目前不支持 IPv6。 Azure Bastion 仅支持 IPv4。 这意味着只能为 Bastion 资源分配 IPv4 公共 IP 地址,并且可以使用 Bastion 连接到 IPv4 目标 VM。 你也可以使用 Bastion 连接到双协议栈目标 VM,但只能通过 Azure Bastion 发送和接收 IPv4 流量。
Azure Bastion 不会将客户数据移出部署的区域或存储到部署区域以外的区域。
如需了解 Azure Bastion 中的可用性区域支持,请参阅 Azure Bastion 中的可靠性。
是,可以使用 Azure Bastion 进行虚拟 WAN 部署。 但是,不支持在虚拟 WAN 中心内部署 Azure Bastion。 可以在辐射虚拟网络中部署 Azure Bastion,并使用基于 IP 的连接功能通过虚拟 WAN 中心连接到跨其他虚拟网络部署的虚拟机。 如果将 Azure 虚拟 WAN 中心与 Azure 防火墙集成为安全虚拟中心,则 AzureBastionSubnet 必须驻留在虚拟网络中,其中默认的 0.0.0.0/0 路由传播在虚拟网络连接级别处于禁用状态。
否,如果要通过 ExpressRoute 或 VPN 播发默认路由 (0.0.0.0/0),并且此路由将注入虚拟网络,这将中断 Azure Bastion 服务。
Azure Bastion 需要能够与某些内部终结点通信,才能成功连接到目标资源。 因此,只要你选择的区域名称与这些内部终结点的命名不重叠,就可以将 Azure Bastion 与 Azure 专用 DNS 区域结合使用。 在部署 Azure Bastion 资源之前,请确保主机虚拟网络未链接到某个具有以下确切名称的专用 DNS 区域:
可以使用以之前列表中的某一个名称结尾的专用 DNS 区域(例如 privatelink.blob.core.windows.net)。
国家云中的 Azure 专用 DNS 区域不支持 Azure Bastion。
这可能是由于链接到 Bastion 虚拟网络的 privatelink.azure.com 的专用 DNS区域导致 management.azure.com CNAME 在后台解析为 management.privatelink.azure.com。 在 management.privatelink.azure.com 到 arm-frontdoor-prod.trafficmanager.net 的 privatelink.azure.com 区域中创建一条 CNAME 记录,以成功进行 DNS 解析。
否,Azure Bastion 当前不支持 Azure 专用链接。
目前,对于大多数地址空间,必须先将名为“AzureBastionSubnet”的子网添加到虚拟网络,然后选择“部署 Bastion”。
若要将 Bastion 部署到 AzureBastionSubnet,需要写入访问权限。 示例:Microsoft.Network/virtualNetworks/write。
对于在 2021 年 11 月 2 日或之后部署的 Azure Bastion 资源,最小的 AzureBastionSubnet 大小为 /26 或更大(/25、/24 等)。 在此日期之前部署在大小为 /27 的子网中的所有 Azure Bastion 资源都不受此更改的影响,并且将继续工作。 但是,强烈建议将任何现有 AzureBastionSubnet 的大小增加到 /26,以防你将来选择利用主机缩放。
不是。 保留 Azure Bastion 子网 (AzureBastionSubnet) 仅用于部署 Azure Bastion 资源。
不是。 Azure Bastion 子网不支持 UDR。
对于在同一虚拟网络中同时包含 Azure Bastion 和 Azure 防火墙/网络虚拟设备 (NVA) 的方案,无需强制流量从 Azure Bastion 子网发往 Azure 防火墙,因为 Azure Bastion 与 VM 之间的通信是专用的。 有关详细信息,请参阅通过 Bastion 访问 Azure 防火墙后的 VM。
Azure Bastion 具具有多个 SKU。 应根据连接和功能要求选择 SKU。 有关 SKU 层和支持的连接和功能的完整列表,请参阅《配置设置》一文。
是的。 有关步骤,请参阅升级 SKU。 有关 SKU 的详细信息,请参阅配置设置一文。
不是。 不支持降级 SKU。 有关 SKU 的详细信息,请参阅配置设置一文。
否,Bastion 不支持连接到 Azure 虚拟桌面。
查看任何错误消息并根据需要在 Azure 门户中提出支持请求。 Azure 订阅限制、配额和约束可能会导致部署失败。 具体来说,客户可能会遇到对每个订阅允许的公共 IP 地址数的限制,这会导致 Azure Bastion 部署失败。
错误。 如果将虚拟网络移动到另一个资源组(即使它位于同一订阅中),则需要先从虚拟网络中删除 Bastion,然后继续将虚拟网络移动到新的资源组。 虚拟网络进入新资源组后,可以将 Bastion 部署到虚拟网络。
是,可以向 Microsoft Entra 来宾帐户授予对 Bastion 的访问权限,并且可以将其连接到虚拟机。 但是,Microsoft Entra 来宾用户无法通过 Microsoft Entra 身份验证连接到 Azure VM。 通过 Microsoft Entra 身份验证支持非来宾用户。 若要详细了解 Azure VM 的 Microsoft Entra 身份验证(适用于非来宾用户),请参阅使用 Microsoft Entra ID 登录到 Azure 中的 Windows 虚拟机。
否,Bastion 可共享链接不支持自定义域。 尝试在 Bastion 主机证书的 CN/SAN 中添加特定域时,用户会收到证书错误。
需要使用以下角色进行连接:
此外,用户必须具有连接到 VM 的权限(如果需要)。 例如,如果用户通过 RDP 连接到 Windows 虚拟机,并且不是本地管理员组的成员,则其必须是远程桌面用户组的成员。
如果直接从另一个浏览器会话或选项卡转到 URL,则会出现此错误。 它有助于确保会话更安全,并且该会话只能通过 Azure 门户来访问。 登录到 Azure 门户,并重新开始会话。
否。 使用 Azure Bastion 连接到 VM 时,不需要在要连接到的 Azure 虚拟机上具有公共 IP。 Bastion 服务通过虚拟网络中虚拟机专用 IP 打开到虚拟机的 RDP/SSH 会话/连接。
否。 可以使用浏览器从 Azure 门户访问虚拟机。 有关可用的连接和方法,请参阅关于 VM 连接和功能。
用户在通过 RDP 连接到 Windows VM 时,必须对目标 VM 拥有权限。 如果用户不是本地管理员,请将其添加到目标 VM 上的远程桌面用户组。
是的。 可以使用本机客户端从本地计算机连接到 VM。 请参阅使用本机客户端连接到 VM。
否。 无需在浏览器或 Azure 虚拟机上安装代理或任何软件。 Bastion 服务没有代理,不需要任何其他软件即可使用 RDP/SSH。
有关支持的功能,请参阅关于 VM 连接和功能。
不是。 某些组织的公司策略要求在用户首次登录本地帐户时重置密码。 使用可共享链接时,用户无法更改密码,即使可能会出现“重置密码”按钮。
是的。 请参阅关于 VM 连接和功能。
Azure Bastion 支持使用 Bastion 和本机 RDP 或 SSH 客户端在目标 VM 和本地计算机之间传输文件。 目前,无法使用 PowerShell 或通过 Azure 门户来上传或下载应用程序。 有关详细信息,请参阅使用本机客户端上传和下载文件。
Bastion 可以与已加入 Entra ID 扩展的 VM 配合使用,适用于在本机客户端上使用 RDP 和 SSH 以及仅在门户中使用 SSH 的 Microsoft Entra 用户。 尚不支持在门户中使用适用于 RDP 的 Entra ID。 有关详细信息,请参阅使用 Microsoft Entra ID 登录到 Azure 中的 Windows 虚拟机。
Bastion 不支持连接到设置为 RDS 会话主机的 VM。
Azure Bastion 目前支持在 VM 使用以下键盘布局:
要为目标语言建立正确的键映射,必须将本地计算机上的键盘布局设置为目标语言并将目标 VM 内的键盘布局设置为目标语言。 这两个键盘都必须设置为目标语言,才能在目标 VM 内建立正确的键映射。
若要将目标语言设置为 Windows 工作站上的键盘布局,请导航到“设置”>“时间和语言”>“语言和区域”。 在“首选语言”下,选择“添加语言”,然后添加目标语言。 然后,你将能够在工具栏上看到你的键盘布局。 要将“英语(美国)”设置为你的键盘布局,请在工具栏上选择“ENG”或单击 Windows+空格键以打开键盘布局。
用户可以使用“Ctrl+Shift+Alt”在 VM 和浏览器之间有效地切换焦点。
连续两次单击 Windows 键,即可在 Bastion 窗口中恢复焦点。
目前,1920x1080 (1080p) 是支持的最大分辨率。
Azure Bastion 当前不支持时区重定向并且不可配置时区。 成功连接到来宾 OS 后,可以手动更新 VM 的时区设置。
是的,在 Bastion 资源维护期间,目标 Bastion 资源上的现有会话将断开连接。
如果用户使用 JIT 策略连接到 VM,无需额外权限。 有关使用 JIT 策略连接到 VM 的详细信息,请参阅在 VM 上启用实时访问。
是的。 默认情况下,用户会看到在 VM 所在的虚拟网络中部署的 Bastion 主机。 但是,在“连接”菜单中,用户可以看到在对等互连网络上检测到的多个 Bastion 主机。 他们可以选择首选用于连接到虚拟网络中部署的 VM 的 Bastion 主机。
可以,对于单个租户的跨不同订阅的对等虚拟网络,通过 Bastion 进行的连接会继续正常工作。 不支持跨两个不同租户的订阅。 若要在“连接”下拉菜单中查看 Bastion,用户必须在“订阅”“全局订阅”中选择他们有权访问的订阅。
请确保用户对 VM 和对等虚拟网络都具有“读取”访问权限。 此外,请在 IAM 下检查用户是否对以下资源具有“读取”访问权限:
权限 | 描述 | 权限类型 |
---|---|---|
Microsoft.Network/bastionHosts/read | 获取守护主机 | 操作 |
Microsoft.Network/virtualNetworks/BastionHosts/action | 获取虚拟网络中的 Bastion 主机引用。 | 操作 |
Microsoft.Network/virtualNetworks/bastionHosts/default/action | 获取虚拟网络中的 Bastion 主机引用。 | 操作 |
Microsoft.Network/networkInterfaces/read | 获取网络接口定义。 | 操作 |
Microsoft.Network/networkInterfaces/ipconfigurations/read | 获取网络接口 IP 配置定义。 | 操作 |
Microsoft.Network/virtualNetworks/read | 获取虚拟网络定义 | 操作 |
Microsoft.Network/virtualNetworks/subnets/virtualMachines/read | 获取对虚拟网络子网中的所有虚拟机的引用 | 操作 |
Microsoft.Network/virtualNetworks/virtualMachines/read | 获取对虚拟网络中的所有虚拟机的引用 | 操作 |
有关详细信息,请参阅什么是 Azure Bastion。
培训
模块
排查 Microsoft Azure 中虚拟机的连接问题 - Training
排查 Azure Bastion 的部署、连接和授权问题,以及虚拟机的实时访问问题。 AZ720 AZ-720 az-720 网络
认证
Microsoft Certified: Azure Virtual Desktop Specialty - Certifications
在 Microsoft Azure 上为任何设备计划、交付、管理和监视虚拟桌面体验和远程应用。
文档
教程:使用指定设置部署 Azure Bastion:Azure 门户
了解如何使用在 Azure 门户中指定的设置部署 Azure Bastion。 如果你想要指定功能和设置,请使用这些步骤。
了解 Azure Bastion 的可用配置设置。
快速入门:自动部署 Azure Bastion - 基本 SKU - Azure Bastion
了解如何从 Azure 门户使用默认设置部署 Azure Bastion。