配置 Bastion 会话录制

本文可帮助你配置 Bastion 会话录制。 启用 Azure Bastion Session 录制功能时，可以通过堡垒主机录制与虚拟机（RDP 和 SSH）建立连接的图形会话。 会话关闭或断开连接后，所录制的会话将存储在你的存储帐户中的 Blob 容器中（通过 SAS URL）。 会话断开连接后，可以在“会话录制”页上的Azure门户中访问和查看录制的会话。 会话录制需要 Bastion Premium SKU。

注释

Bastion 的图形会话录制功能支持使用托管标识进行存储帐户身份验证，从而无需管理 SAS 令牌。 可以使用系统分配的或用户分配的托管标识。 有关托管标识的一般信息，请参阅 Azure 资源的托管标识是什么？。

注意事项

• 此功能需要高级 SKU。
• Entra ID门户中对 RDP 会话的支持目前不能与图形会话录制一起使用。
• 目前无法通过原生客户端进行会话录制。
• 不能存在不可变的存储策略。
• 会话录制功能每次仅支持一个容器或存储帐户。
• 在会话处于活动状态时更改存储容器可能会导致会话中断。
• 不得使用录制内容的 Blob 版本控制。
• 在 Bastion 部署中启用会话录制后，Bastion 会录制所有通过启用录制功能的堡垒主机的会话。

先决条件

• 已将 Azure Bastion 部署到您的虚拟网络。 有关步骤，请参阅 Quickstart：从 Azure 门户部署Azure Bastion。
• 必须配置 Bastion 才能将 高级 SKU 用于此功能。 配置会话录制功能时，你可以从较低的 SKU 更新到高级 SKU。 若要检查 SKU 并根据需要进行升级，请参阅查看或升级 SKU。
• 你连接到的虚拟机必须部署到包含堡垒主机的虚拟网络中，或者部署到与堡垒虚拟网络直接对等互连的虚拟网络中。
• 若要查看/列出会话录制，用户必须具有 存储 Blob 数据读取者 角色。

启用会话录制

可以在创建新的堡垒主机资源时启用会话录制，也可以在部署 Bastion 后对其进行配置。

进行新的 Bastion 部署的步骤

手动配置和部署堡垒主机时，可以在部署时指定 SKU 和功能。 有关部署 Bastion 的综合步骤，请参阅 Azure 门户中的 Deploy Bastion。

1. 在Azure门户中，选择创建 Resource。
2. 搜索 Azure Bastion 并选择 Create。
3. 使用手动设置填写值，确保选择“高级 SKU”。
4. 在“高级”选项卡中，选择“会话录制”以启用会话录制功能。
5. 复查你的详细信息，然后选择“创建”。 Bastion 会立即开始创建 Bastion 主机。 此过程需要大约 10 分钟才能完成。

适用于现有 Bastion 部署的步骤

如果你已经部署了 Bastion，请使用以下步骤来启用会话录制。

1. 在 Azure 门户中，转到 Bastion 资源。
2. 在 Bastion 页上，在左窗格中选择“配置”。
3. 在“配置”页上，对于“层级”，请选择“高级”（如果尚未选择）。 此功能需要高级 SKU。
4. 从列出的功能中选择“会话录制”。
5. 选择应用。 Bastion 会立即开始更新堡垒主机的设置。 更新需要花费大约 10 分钟。

配置存储帐户容器

在本部分中，你将设置并指定用于会话录制的容器。

1. 在你的资源组中创建一个存储帐户。 有关步骤，请参阅 创建存储帐户和 使用共享访问签名（SAS）授予对 Azure Storage 资源的有限访问权限。

2. 在存储帐户中创建“容器”。 这是将用于存储你的 Bastion 会话录制的容器。 建议为会话录制创建专用的容器。 有关详细步骤，请参阅创建容器。

3. 在你的存储帐户的页面上，在左窗格中展开“设置”。 选择“资源共享 (CORS)”。

4. 使用以下值在 Blob 服务下创建新策略，并将更改保存在页面顶部。

   名称	值
   允许的源	https:// 后跟堡垒机的完整 DNS 名称，以 bst- 开头。 请记住，这些值区分大小写。
   允许的方法	获取
   允许的标头	*
   公开的标题	*
   最大年龄	86400

配置存储访问和查看录制内容

托管服务/用户标识（推荐）- 预览版

注释

以下步骤用于设置系统分配的托管标识。 用户分配的标识遵循类似的步骤。

以下步骤可帮助你配置所需的设置以使用托管标识。 推荐使用托管标识作为身份验证方法。

1. 选择 Bastion 资源，然后转到“标识”边栏选项卡。

2. 将状态设置为打开，然后等待配置完成。

3. 选择Azure角色分配并选择添加角色分配（预览版）。

   Scope	Subscription	资源	角色
   存储	您的存储账户订阅	你的存储帐户名称	Storage Blob 数据贡献者

4. 选择 “保存” 以保存角色分配。

5. 返回到 Bastion 资源，然后在左窗格中选择 “配置 ”。

6. 在 “会话录制配置”下，选择 “系统分配的托管标识 ”，然后输入存储容器的 Blob 容器 URI 。

查看录制内容

在堡垒主机上启用会话录制后，会自动录制会话。 可以通过集成的 Web 播放器在 Azure 门户中查看录制内容。

1. 在 Azure 门户中，转到 Bastion 主机。
2. 在左侧窗格的“设置”下选择“会话录制”。
3. 选择要查看的 VM 和录制内容链接，然后选择“查看录制内容”。

SAS URL

以下步骤可帮助你直接在“生成 SAS”页上配置所需的设置。 不过，你也可以通过创建存储的访问策略来配置某些设置。 然后，可以在“生成 SAS”页上将存储的访问策略链接到 SAS 令牌。 如果要创建存储的访问策略，请在访问策略中或在“生成 SAS”页上选择“权限”和“开始/到期日期和时间”。

1. 在你的存储帐户页上，转到“数据存储”->“容器”。
2. 找到创建的用于存储 Bastion 会话录制的容器，然后选择容器右侧的 3 点（省略号），然后从下拉列表中选择“ 生成 SAS ”。
3. 在“生成 SAS”页上，对于“权限”，请选择“读取”、“创建”、“写入”、“列出”。
4. 对于“开始和到期日期/时间”，请使用以下建议：
   • 将“开始时间”设置为在当前时间之前至少 15 分钟。
   • 将“到期时间”设置为离现在很远的将来时间。
5. 在 “允许的 IP 地址”下，选择要接受请求的 IP 地址或 IP 范围。 有关详细信息，请参阅 指定 IP 地址或 IP 范围。
6. 在“允许的协议”下，仅选择“HTTPS”。
7. 选择“ 生成 SAS 令牌和 URL”。 你会在页面底部看到生成的 Blob SAS 令牌和 Blob SAS URL。
8. 复制 Blob SAS URL。
9. 转到你的堡垒主机。 在左窗格中，选择“会话录制”。
10. 在页面顶部，选择“添加或更新 SAS URL”。 粘贴 SAS URL，然后选择“ 上传”。

添加或更新 SAS URL

以下步骤可帮助你直接在“生成 SAS”页上配置所需的设置。 不过，你也可以通过创建存储的访问策略来配置某些设置。 然后，可以在“生成 SAS”页上将存储的访问策略链接到 SAS 令牌。 如果要创建存储的访问策略，请在访问策略中或在“生成 SAS”页上选择“权限”和“开始/到期日期和时间”。

1. 在你的存储帐户页上，转到“数据存储”->“容器”。
2. 找到创建的用于存储 Bastion 会话录制的容器，然后选择容器右侧的 3 点（省略号），然后从下拉列表中选择“ 生成 SAS ”。
3. 在“生成 SAS”页上，对于“权限”，请选择“读取”、“创建”、“写入”、“列出”。
4. 对于“开始和到期日期/时间”，请使用以下建议：
   • 将“开始时间”设置为在当前时间之前至少 15 分钟。
   • 将“到期时间”设置为离现在很远的将来时间。
5. 在 “允许的 IP 地址”下，选择要接受请求的 IP 地址或 IP 范围。 有关详细信息，请参阅 指定 IP 地址或 IP 范围。
6. 在“允许的协议”下，仅选择“HTTPS”。
7. 选择“ 生成 SAS 令牌和 URL”。 你会在页面底部看到生成的 Blob SAS 令牌和 Blob SAS URL。
8. 复制 Blob SAS URL。
9. 转到你的堡垒主机。 在左窗格中，选择“会话录制”。
10. 在页面顶部，选择“添加或更新 SAS URL”。 粘贴 SAS URL，然后选择“ 上传”。

查看录制内容

在堡垒主机上启用会话录制后，会自动录制会话。 可以通过集成的 Web 播放器在 Azure 门户中查看录制内容。

1. 在 Azure 门户中，转到 Bastion 主机。
2. 在左侧窗格的“设置”下选择“会话录制”。
3. 应当已经配置好 SAS URL（在本练习的前面部分中）。 但是，如果 SAS URL 已过期或需要添加 SAS URL，请使用前面的步骤获取和上传 Blob SAS URL。
4. 选择要查看的 VM 和录制内容链接，然后选择“查看录制内容”。

后续步骤

• 了解 Azure 资源的托管标识以及它们如何消除管理凭据的需求，从而无需管理凭据即可对 Azure 服务进行身份验证。
• 了解 Azure Bastion，这是一项完全托管的服务，它提供与虚拟机的安全无缝 RDP/SSH 连接，而无需在外部公开 RDP/SSH 端口。
• 了解 关于 Azure Bastion 的常见问题。