設定 Bastion 工作階段錄製 (預覽)
本文可協助您設定 Bastion 工作階段錄製。 啟用 Azure Bastion 工作階段錄製功能時,您可透過堡壘主機錄製對虛擬機器進行之連線的圖形工作階段 (RDP 和 SSH)。 工作階段關閉或中斷連線之後,錄製的工作階段會儲存在儲存體帳戶內的 Blob 容器 (透過 SAS URL)。 當工作階段中斷連線時,您可以在 Azure 入口網站的 [工作階段錄製] 頁面上存取和檢視所錄製的工作階段。 工作階段錄製需要 Bastion 進階 SKU。
開始之前
下列各節概述 Bastion 工作階段錄製的考量、限制和必要條件。
考量與限制
- 此功能需要進階 SKU。
- 目前無法透過原生用戶端使用工作階段錄製。
- 工作階段錄製一次支援一個容器/儲存體帳戶。
- 在堡壘主機上啟用工作階段錄製時,Bastion 會錄製所有經過已啟用錄製功能的堡壘主機的工作階段。
先決條件
- Azure Bastion 會部署到您的虛擬網路。 請參閱教學課程:使用指定的設定部署 Bastion中的步驟。
- Bastion 必須設定為對此功能使用 [進階 SKU]。 當您設定工作階段錄製功能時,可以從較低的 SKU 更新至進階 SKU。 若要檢查您的 SKU 並視需要升級,請參閱檢視或升級 SKU。
- 您連線的虛擬機器必須部署至包含堡壘主機的虛擬網路,或直接對等互連至 Bastion 虛擬網路的虛擬網路。
啟用工作階段錄製
您可以在建立新的堡壘主機資源時啟用工作階段錄製,也可以在部署 Bastion 之後稍後進行設定。
新 Bastion 部署的步驟
當您手動設定和部署堡壘主機時,您可以在部署時指定 SKU 層和功能。 如需部署 Bastion 的完整步驟,請參閱使用指定的設定來部署 Bastion。
- 在 Azure 入口網站中,選取 [建立資源]。
- 搜尋 Azure Bastion,然後選取 [建立]。
- 使用手動設定填入值,務必選取 [進階 SKU]。
- 在 [進階] 索引標籤中,選取 [工作階段錄製] 以啟用工作階段錄製功能。
- 檢閱詳細資料,然後選取 [建立]。 Bastion 會立即開始建立堡壘主機。 完成此程序大約需要 10 分鐘。
現有 Bastion 部署的步驟
如果您已部署 Bastion,請使用下列步驟來啟用工作階段錄製。
- 在 Azure 入口網站中,移至您的 Bastion 資源。
- 在 Bastion 頁面上,選取左窗格中的 [設定]。
- 在 [設定] 頁面上,針對 [階層],選取 [進階] (若尚未選取的話)。 此功能需要進階 SKU。
- 從列出的功能中選取 [工作階段錄製 (預覽)]。
- 選取套用。 Bastion 會立即開始更新堡壘主機的設定。 更新需要大約 10 分鐘的時間。
設定儲存體帳戶容器
在本節中,您會設定並指定工作階段錄製的容器。
在資源群組中建立儲存體帳戶。 如需步驟,請參閱建立儲存體帳戶和使用共用存取簽章 (SAS) 授與對 Azure 儲存體資源的有限存取權。
在儲存體帳戶內,建立容器。 這是您將用來儲存 Bastion 工作階段錄製的容器。 建議您針對工作階段錄製建立獨佔容器。 如需了解步驟,請參閱建立容器。
在儲存體帳戶的頁面上,於左窗格中展開 [設定]。 選取 [資源共用 (CORS)]。
在 Blob 服務下建立新的原則,並將變更儲存在頁面頂端。
名稱 | 值 |
---|---|
允許的原始來源 | https:// 後面接著防禦的完整 DNS 名稱,從 bst- 開始。 請記住,這些值會區分大小寫。 |
允許的方法 | GET |
允許的標頭 | * |
公開的標題 | * |
存留期上限 | 86400 |
新增或更新 SAS URL
若要設定工作階段錄製,您必須將 SAS URL 新增至 Bastion [工作階段錄製] 組態。 在本節中,您會從容器產生 Blob SAS URL,然後將它上傳至堡壘主機。
下列步驟可協助您直接在 [產生 SAS] 頁面上設定必要的設定。 不過,您可藉由建立預存存取原則,選擇性地設定部分設定。 接著,您可將預存存取原則連結至 [產生 SAS] 頁面上的 SAS 權杖。 如果您想要建立預存存取原則,請在存取原則中或在 [產生 SAS] 頁面上,選取 [權限] 和 [開始/到期日期和時間]。
- 在儲存體帳戶頁面上,移至 [資料儲存體 -> 容器]。
- 找出您建立以儲存 Bastion 工作階段錄製的容器,然後按一下容器右側的 3 個點 (省略符號),然後從下拉式清單中選取 [產生 SAS]。
- 在 [產生 SAS] 頁面上,針對 [權限],選取 [讀取]、[建立]、[寫入]、[列出]。
- 針對 [開始和到期日期/時間],使用下列建議:
- 將 [開始時間] 設定為目前時間前至少 15 分鐘。
- 將 [到期時間] 設定為未來較長的時間。
- 在 [允許的通訊協定] 下,僅選取 [HTTPS]。
- 按一下 [產生 SAS 權杖與 URL]。 您會看到頁面底部產生的 Blob SAS 權杖和 Blob SAS URL。
- 複製 [Blob SAS URL]。
- 移至您的堡壘主機。 在左窗格中,選取 [工作階段錄製]。
- 在頁面頂端,選取 [新增或更新 SAS URL]。 貼上您的 SAS URL,然後按一下 [上傳]。
檢視錄製
在堡壘主機上啟用工作階段錄製時,會自動錄製工作階段。 您可以透過整合式 Web 播放器在 Azure 入口網站中檢視錄製。
- 在 Azure 入口網站中,移至堡壘主機。
- 在左窗格的 [設定] 之下,選取 [工作階段錄製]。
- SAS URL 應該已經設定 (本練習稍早)。 不過,如果您的 SAS URL 過期,或您需要新增 SAS URL,請使用先前的步驟來取得並上傳 Blob SAS URL。
- 選取您要檢視的 VM 與錄製連結,然後選取 [檢視錄製]。
下一步
如需 Bastion 的其他資訊,請檢視 Bastion 常見問題集。