分享方式:

設定 Bastion 工作階段錄製 (預覽)

  • 文章

本文可協助您設定 Bastion 工作階段錄製。 啟用 Azure Bastion 工作階段錄製功能時,您可透過堡壘主機錄製對虛擬機器進行之連線的圖形工作階段 (RDP 和 SSH)。 工作階段關閉或中斷連線之後,錄製的工作階段會儲存在儲存體帳戶內的 Blob 容器 (透過 SAS URL)。 當工作階段中斷連線時,您可以在 Azure 入口網站的 [工作階段錄製] 頁面上存取和檢視所錄製的工作階段。 工作階段錄製需要 Bastion 進階 SKU。

開始之前

下列各節概述 Bastion 工作階段錄製的考量、限制和必要條件。

考量與限制

  • 此功能需要進階 SKU。
  • 目前無法透過原生用戶端使用工作階段錄製。
  • 工作階段錄製一次支援一個容器/儲存體帳戶。
  • 在堡壘主機上啟用工作階段錄製時,Bastion 會錄製所有經過已啟用錄製功能的堡壘主機的工作階段。

先決條件

  • Azure Bastion 會部署到您的虛擬網路。 請參閱教學課程:使用指定的設定部署 Bastion中的步驟。
  • Bastion 必須設定為對此功能使用 [進階 SKU]。 當您設定工作階段錄製功能時,可以從較低的 SKU 更新至進階 SKU。 若要檢查您的 SKU 並視需要升級,請參閱檢視或升級 SKU
  • 您連線的虛擬機器必須部署至包含堡壘主機的虛擬網路,或直接對等互連至 Bastion 虛擬網路的虛擬網路。

啟用工作階段錄製

您可以在建立新的堡壘主機資源時啟用工作階段錄製,也可以在部署 Bastion 之後稍後進行設定。

顯示堡壘主機設定頁面的螢幕擷取畫面。

新 Bastion 部署的步驟

當您手動設定和部署堡壘主機時,您可以在部署時指定 SKU 層和功能。 如需部署 Bastion 的完整步驟,請參閱使用指定的設定來部署 Bastion

  1. 在 Azure 入口網站中,選取 [建立資源]
  2. 搜尋 Azure Bastion,然後選取 [建立]
  3. 使用手動設定填入值,務必選取 [進階 SKU]
  4. 在 [進階] 索引標籤中,選取 [工作階段錄製] 以啟用工作階段錄製功能。
  5. 檢閱詳細資料,然後選取 [建立]。 Bastion 會立即開始建立堡壘主機。 完成此程序大約需要 10 分鐘。

現有 Bastion 部署的步驟

如果您已部署 Bastion,請使用下列步驟來啟用工作階段錄製。

  1. 在 Azure 入口網站中,移至您的 Bastion 資源。
  2. 在 Bastion 頁面上,選取左窗格中的 [設定]
  3. 在 [設定] 頁面上,針對 [階層],選取 [進階] (若尚未選取的話)。 此功能需要進階 SKU。
  4. 從列出的功能中選取 [工作階段錄製 (預覽)]
  5. 選取套用。 Bastion 會立即開始更新堡壘主機的設定。 更新需要大約 10 分鐘的時間。

設定儲存體帳戶容器

在本節中,您會設定並指定工作階段錄製的容器。

  1. 在資源群組中建立儲存體帳戶。 如需步驟,請參閱建立儲存體帳戶使用共用存取簽章 (SAS) 授與對 Azure 儲存體資源的有限存取權

  2. 在儲存體帳戶內,建立容器。 這是您將用來儲存 Bastion 工作階段錄製的容器。 建議您針對工作階段錄製建立獨佔容器。 如需了解步驟,請參閱建立容器

  3. 在儲存體帳戶的頁面上,於左窗格中展開 [設定]。 選取 [資源共用 (CORS)]

  4. 在 Blob 服務之下建立新的原則。

    • 針對 [允許的來源],輸入 HTTPS:// 後面接著堡壘的 DNS 名稱。

    • 針對 [允許的方法],選取 GET。

    • 針對 [最大壽命],使用 86400

    • 您可將其他欄位保留空白。

      此螢幕擷取畫面顯示 Blob 服務設定的資源共用頁面。

  5. 儲存頁面頂端的變更。

新增或更新 SAS URL

若要設定工作階段錄製,您必須將 SAS URL 新增至 Bastion [工作階段錄製] 組態。 在本節中,您會從容器產生 Blob SAS URL,然後將它上傳至堡壘主機。

下列步驟可協助您直接在 [產生 SAS] 頁面上設定必要的設定。 不過,您可藉由建立預存存取原則,選擇性地設定部分設定。 接著,您可將預存存取原則連結至 [產生 SAS] 頁面上的 SAS 權杖。 如果您想要建立預存存取原則,請在存取原則中或在 [產生 SAS] 頁面上,選取 [權限] 和 [開始/到期日期和時間]。

  1. 在儲存體帳戶頁面上,移至 [資料儲存體 -> 容器]
  2. 找出您建立以儲存 Bastion 工作階段錄製的容器,然後按一下容器右側的 3 個點 (省略符號),然後從下拉式清單中選取 [產生 SAS]
  3. 在 [產生 SAS] 頁面上,針對 [權限],選取 [讀取]、[建立]、[寫入]、[列出]
  4. 針對 [開始和到期日期/時間],使用下列建議:
    • 將 [開始時間] 設定為目前時間前至少 15 分鐘。
    • 將 [到期時間] 設定為未來較長的時間。
  5. 在 [允許的通訊協定] 下,僅選取 [HTTPS]
  6. 按一下 [產生 SAS 權杖與 URL]。 您會看到頁面底部產生的 Blob SAS 權杖和 Blob SAS URL。
  7. 複製 [Blob SAS URL]
  8. 移至您的堡壘主機。 在左窗格中,選取 [工作階段錄製]
  9. 在頁面頂端,選取 [新增或更新 SAS URL]。 貼上您的 SAS URL,然後按一下 [上傳]

檢視錄製

在堡壘主機上啟用工作階段錄製時,會自動錄製工作階段。 您可以透過整合式 Web 播放器在 Azure 入口網站中檢視錄製。

  1. 在 Azure 入口網站中,移至堡壘主機。
  2. 在左窗格的 [設定] 之下,選取 [工作階段錄製]
  3. SAS URL 應該已經設定 (本練習稍早)。 不過,如果您的 SAS URL 過期,或您需要新增 SAS URL,請使用先前的步驟來取得並上傳 Blob SAS URL。
  4. 選取您要檢視的 VM 與錄製連結,然後選取 [檢視錄製]

下一步

如需 Bastion 的其他資訊,請檢視 Bastion 常見問題集