Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Часто задаваемые вопросы о сервисе Bastion и его развертывании
Какие браузеры поддерживаются?
Используемый браузер должен поддерживать HTML 5. Используйте браузер Microsoft Edge или Google Chrome в ОС Windows. Для Apple Mac используйте браузер Google Chrome. Microsoft Edge Chromium также поддерживают ОС Windows и Mac.
Как действуют цены?
Цены на Azure Bastion — это сочетание почасовых тарифов, зависящих от SKU и экземпляров (единиц масштабирования), и тарифов за передачу данных. Почасовая тарификация начинается с момента развертывания Bastion, независимо от объема передаваемых данных. Для получения актуальной информации о ценах перейдите на страницу с ценами Azure Bastion.
Поддерживается ли IPv6?
Сейчас IPv6 не поддерживается. Служба "Бастион Azure" поддерживает только IPv4. Это означает, что ресурсу Бастиона вы можете назначить только общедоступный IP-адрес IPv4 и использовать Бастион для подключения к целевым виртуальным машинам с поддержкой IPv4. Бастион также можно использовать для подключения к целевым виртуальным машинам с двумя стеками, но через Бастион Azure вы сможете отправлять и получать только трафик IPv4.
Где Бастион Azure хранит данные клиента?
Бастион Azure не перемещает и не хранит данные клиента за пределами региона, в котором он развернут.
Поддерживает ли Azure Bastion зоны доступности?
Сведения о поддержке зоны доступности в Бастионе Azure см. в статье "Надежность" в Бастионе Azure.
Поддерживает ли Бастион Azure Виртуальную глобальную сеть?
Да, Бастион Azure можно использовать для развертываний Виртуальной глобальной сети. Однако развертывание Бастиона Azure в концентраторе Виртуальной глобальной сети не поддерживается. Вы можете развернуть Azure Bastion в периферийной виртуальной сети и использовать функцию подключения на основе IP-адресов для подключения к виртуальным машинам, развернутым в другой виртуальной сети через хаб виртуальной WAN. Если узел Azure Virtual WAN будет интегрирован с Брандмауэром Azure в качестве защищенного виртуального концентратора, AzureBastionSubnet должен находиться в виртуальной сети, где распространение маршрута по умолчанию 0.0.0.0/0 отключено на уровне подключения виртуальной сети.
Можно ли использовать Azure Bastion, если я принудительно туннелирую интернет-трафик обратно в локальную сеть?
Нет, если вы объявляете маршрут по умолчанию (0.0.0.0/0) через ExpressRoute или VPN, и этот маршрут внедряется в ваши виртуальные сети, это нарушит работу службы Azure Bastion.
Для успешного подключения к целевым ресурсам Бастион Azure должен иметь возможность взаимодействовать с определенными внутренними конечными точками. Поэтому вы можете использовать Бастион Azure с Частными зонами DNS Azure, если выбранное имя зоны не пересекается с именами этих внутренних конечных точек. Прежде чем развертывать ресурс Azure Bastion, убедитесь в том, что виртуальная сеть хоста не связана с частной зоной DNS, точно соответствующей одному из следующих имен:
- management.azure.com
- blob.core.windows.net
- core.windows.net
- vaultcore.windows.net
- vault.azure.net
- azure.com
Вы можете использовать частную зону DNS, заканчивающуюся одним из имен в предыдущем списке (например, privatelink.blob.core.windows.net).
Azure Bastion не поддерживается в Частных зонах DNS Azure в национальных облаках.
My privatelink.azure.com can't resolve to management.privatelink.azure.com
Это может быть связано с частной зоной DNS для privatelink.azure.com, связанной с виртуальной сетью Бастиона, что приводит к незаметной переадресации записей CNAME для management.azure.com на management.privatelink.azure.com в фоновом режиме. Create a CNAME record in their privatelink.azure.com zone for management.privatelink.azure.com to arm-frontdoor-prod.trafficmanager.net to enable successful DNS resolution.
Поддерживает ли Azure Bastion Private Link?
Нет, Azure Bastion в настоящее время не поддерживает Azure Private Link.
Why do I get a "Failed to add subnet" error when using "Deploy Bastion" in the portal?
В настоящее время для большинства адресных пространств необходимо добавить подсеть с именем AzureBastionSubnet в виртуальную сеть перед выбором " Развернуть бастион".
Требуются ли специальные разрешения для развертывания Бастиона в AzureBastionSubnet?
Чтобы развернуть Бастион в AzureBastionSubnet, требуются следующие разрешения RBAC: Microsoft.Network/virtualNetworks/write, Microsoft.Network/virtualNetworks/subnets/join/action и Microsoft.Network/publicIPAddresses.
Можно ли использовать подсеть Бастиона Azure размером /27 или меньше (/28, /29 и т. д.)?
Для ресурсов Бастиона Azure, развернутых 2 ноября 2021 г. или после этой даты, минимальный размер AzureBastionSubnet должен составлять /26 или больше (/25, /24 и т. д.). Все ресурсы Бастиона Azure, развернутые в подсетях размера /27 до этой даты, не затронуты этим изменением и будут продолжать работать. Однако мы настоятельно рекомендуем увеличить размер любой существующей подсети AzureBastionSubnet до /26, если вы решите воспользоваться преимуществами масштабирования узла в будущем.
Можно ли развернуть несколько ресурсов Azure в подсети Бастиона Azure?
No. Подсеть Бастиона Azure (AzureBastionSubnet) зарезервирована только для развертывания ресурса Бастиона Azure.
Поддерживаются ли определяемые пользователем маршруты в подсети Бастиона Azure?
No. UDR isn't supported on an Azure Bastion subnet.
В сценариях, в которых Бастион Azure и Брандмауэр Azure или виртуальный сетевой модуль (NVA) находятся в одной виртуальной сети, не нужно принудительно перенаправлять трафик из подсети Бастиона Azure в Брандмауэр Azure, так как обмен данными между Бастионом Azure и виртуальными машинами выполняется по частному каналу. Для получения дополнительной информации смотрите руководство по получению доступа к виртуальным машинам за Брандмауэром Azure с помощью Бастиона.
Какой номер SKU следует использовать?
Azure Bastion имеет несколько вариантов SKU. Вы должны выбрать номер SKU на основе требований к подключению и функциям. Полный список уровней SKU и поддерживаемых подключений и функций см. в статье "Параметры конфигурации ".
Можно ли обновить номер SKU?
Да. Инструкции см. в разделе Обновление SKU. Дополнительные сведения о номерах SKU см. в статье Параметры конфигурации.
Can I downgrade a SKU?
No. Понижение номера SKU не поддерживается. Дополнительные сведения о номерах SKU см. в статье Параметры конфигурации.
Поддерживает ли Бастион подключение к Виртуальному рабочему столу Azure?
Нет, подключение Бастиона к Виртуальному рабочему столу Azure не поддерживается.
Как устранить сбои развертывания?
Изучите все сообщения об ошибках и при необходимости подайте запрос на поддержку на портале Azure. Сбои развертывания могут привести к ограничениям подписки Azure, квотам и ограничениям. В частности, клиенты могут столкнуться с ограничением количества общедоступных IP-адресов, разрешенных для каждой подписки, что приводит к сбою развертывания Бастиона Azure.
Поддерживает ли Бастион перемещение виртуальной сети в другую группу ресурсов?
No. При перемещении виртуальной сети в другую группу ресурсов (даже если она находится в той же подписке), сначала необходимо удалить Бастион из виртуальной сети, а затем перейти к перемещению виртуальной сети в новую группу ресурсов. Once the virtual network is in the new resource group, you can deploy Bastion to the virtual network.
Поддерживает ли Бастион гостевые учетные записи Microsoft Entra?
Да, гостевым учетным записям Microsoft Entra можно предоставить доступ к Бастиону и подключить их к виртуальным машинам. Однако гостевые пользователи Microsoft Entra не могут подключаться к виртуальным машинам Azure с помощью проверки подлинности Microsoft Entra. Пользователи, не являющиеся гостевыми, поддерживаются с помощью проверки подлинности Microsoft Entra. Дополнительные сведения о проверке подлинности Microsoft Entra для виртуальных машин Azure (для не гостевых пользователей) см. в статье "Вход в виртуальную машину Windows в Azure" с помощью идентификатора Microsoft Entra.
Are custom domains supported with Bastion shareable links?
No, custom domains aren't supported with Bastion shareable links. Пользователи получают ошибку сертификата при попытке добавить определенные домены в CN/SAN сертификата узла Бастиона.
Часто задаваемые вопросы о подключении к виртуальной машине и доступных функциях
Нужны ли какие-то роли для доступа к виртуальной машине?
In order to make a connection, the following roles are required:
- Reader role on the virtual machine.
- Reader role on the NIC with private IP of the virtual machine.
- Reader role on the Azure Bastion resource.
- Reader role on the virtual network of the target virtual machine (if the Bastion deployment is in a peered virtual network).
Кроме того, пользователь должен иметь права (при необходимости) для подключения к виртуальной машине. Например, если пользователь подключается к виртуальной машине Windows через RDP и не является членом локальной группы администраторов, он должен быть членом группы пользователей удаленных рабочих столов.
Почему я получаю сообщение об ошибке "ваш сеанс истек" до начала сеанса Бастиона?
Если вы перешли по URL-адресу непосредственно из другого сеанса браузера или вкладки, эта ошибка закономерна. Она призвана обеспечивать безопасность сеанса и возможность его запуска только на портале Azure. Войдите на портал Azure и заново начните сеанс.
Нужен ли моей виртуальной машине общедоступный IP-адрес для подключения через Бастион Azure?
No. При подключении к виртуальной машине с использованием Azure Bastion вам не требуется общедоступный IP-адрес на этой виртуальной машине Azure. The Bastion service opens the RDP/SSH session/connection to your virtual machine over the private IP of your virtual machine, within your virtual network.
Нужен ли клиент RDP или SSH?
No. Вы можете получить доступ к виртуальной машине на портале Azure с помощью браузера. Информацию о доступных подключениях и методах см. в статье Сведения о подключениях и функциях виртуальных машин.
Требуются ли пользователям определенные права на целевой виртуальной машине для подключений RDP?
Когда пользователь подключается к виртуальной машине Windows через RDP, он должен иметь права на целевую виртуальную машину. Если пользователь не является локальным администратором, добавьте пользователя в группу пользователей удаленных рабочих столов на целевой виртуальной машине.
Можно ли подключиться к виртуальной машине с помощью собственного клиента?
Да. Вы можете подключиться к виртуальной машине с локального компьютера с помощью собственного клиента. См. статью Подключение к виртуальной машине с помощью собственного клиента.
Нужно ли запускать агент на виртуальной машине Azure?
No. В браузере или на виртуальной машине Azure не нужно устанавливать агент или другое программное обеспечение. Служба "Бастион" работает без агента и не требует дополнительного программного обеспечения для RDP и SSH.
Какие функции поддерживаются для сеансов виртуальных машин?
Информацию о поддерживаемых функциях см. в статье Сведения о подключениях и функциях виртуальных машин.
Доступен ли сброс пароля для локальных пользователей, подключающихся через общую ссылку?
No. В некоторых организациях есть политики компании, требующие сброса пароля при первом входе пользователя в локальную учетную запись. При использовании общих ссылок пользователь не может изменить пароль, даже если может появиться кнопка "Сброс пароля".
Доступен ли удаленный аудиовыход для виртуальных машин?
Да. См. статью Сведения о подключениях и функциях виртуальных машин.
Поддерживает ли Бастион Azure передачу файлов?
Бастион Azure поддерживает передачу файлов между целевой виртуальной машиной и локальным компьютером с помощью Бастиона и клиента RDP или SSH. В настоящее время нельзя отправлять или скачивать файлы с помощью PowerShell или портала Azure. Дополнительные сведения см. в статье Отправка и скачивание файлов с помощью собственного клиента.
Работает ли Bastion с виртуальными машинами, подключенными через расширение Entra ID?
Бастион работает с виртуальными машинами, присоединенными к расширению Entra ID для пользователей Microsoft Entra, поддерживая RDP и SSH на родном клиенте и только SSH на портале. Entra ID for RDP on the portal is not yet supported. Дополнительные сведения см. в статье "Вход в виртуальную машину Windows в Azure" с помощью идентификатора Microsoft Entra.
Совместим ли Бастион с виртуальными машинами, настроенными в качестве узлов сеансов RDS?
Bastion doesn't support connecting to a VM that is set up as an RDS session host.
Какие раскладки клавиатуры поддерживаются во время удаленного сеанса с использованием службы "Бастион"?
В настоящее время служба "Бастион" Azure поддерживает в виртуальной машине следующие раскладки клавиатуры:
- en-us-qwerty
- en-gb-qwerty
- de-ch-qwertz
- de-de-qwertz
- fr-be-azerty
- fr-fr-azerty
- fr-ch-qwertz
- hu-hu-qwertz
- it-it-qwerty
- ja-jp-qwerty
- pt-br-qwerty
- es-es-qwerty
- es-latam-qwerty
- sv-se-qwerty
- tr-tr-qwerty
Чтобы установить правильное сопоставление клавиш для вашего целевого языка, необходимо установить раскладку клавиатуры на локальном компьютере и на целевой виртуальной машине в соответствии с вашим целевым языком. Обе клавиатуры должны быть установлены в соответствии с целевым языком, чтобы установить правильные сопоставления ключей на целевой виртуальной машине.
Чтобы задать целевой язык в качестве раскладки клавиатуры на рабочей станции Windows, перейдите к разделу "Параметры > времени и языка языка > " и "Регион". В разделе "Предпочитаемые языки" выберите "Добавить язык" и добавьте свой целевой язык. После этого вы сможете просмотреть раскладки клавиатуры на панели инструментов. To set English (United States) as your keyboard layout, select "ENG" on your toolbar or click Windows + Spacebar to open keyboard layouts.
Существует ли решение клавиатуры для переключения фокуса между виртуальной машиной и браузером?
Пользователи могут использовать ctrl+SHIFT+ALT для эффективного переключения фокуса между виртуальной машиной и браузером.
How do I take back keyboard or mouse focus from an instance?
Дважды щелкните клавишу Windows подряд, чтобы вернуть фокус в окне Бастион.
Какое максимальное разрешение экрана поддерживает Бастион?
В настоящее время поддерживается максимальное разрешение 1920x1080 (1080p).
Поддерживает ли Бастион Azure настройку часового пояса или перенаправление часового пояса для целевых виртуальных машин?
Azure Bastion currently doesn't support timezone redirection and isn't timezone configurable. Параметры часового пояса для виртуальной машины можно обновить вручную после успешного подключения к гостевой ОС.
Будет ли существующий сеанс отключен во время обслуживания на узле Бастиона?
Yes, existing sessions on the target Bastion resource will disconnect during maintenance on the Bastion resource.
Я подключаюсь к виртуальной машине с помощью политики JIT, требуются ли дополнительные разрешения?
Если пользователь подключается к виртуальной машине с помощью политики JIT, дополнительные разрешения не требуются. Дополнительные сведения о подключении к виртуальной машине с помощью политики JIT см. в статье "Включение JIT-доступа" на виртуальных машинах.
Часто задаваемые вопросы о пиринге виртуальных сетей
Можно ли по-прежнему развертывать несколько узлов Бастиона в одноранговых виртуальных сетях?
Да. By default, a user sees the Bastion host that is deployed in the same virtual network in which VM resides. Однако в меню Connect пользователь может видеть несколько хостов Bastion, обнаруженных в подключенных сетях. Они могут выбрать сервер Бастиона, который предпочитают использовать для подключения к виртуальной машине, развернутой в виртуальной сети.
If my peered VNets are deployed in different subscriptions, will connectivity via Bastion work?
Yes, connectivity via Bastion will continue to work for peered virtual networks across different subscription for a single Tenant. Subscriptions across two different Tenants aren't supported. Чтобы увидеть Бастион в раскрывающемся меню Подключение, пользователь должен выбрать подписки, к которым у него есть доступ, в разделе Подписка > глобальная подписка.
У меня есть доступ к одноранговой сети VNet, но виртуальная машина, развернутая там, не видна.
Убедитесь, что пользователь имеет доступ на чтение как к виртуальной машине, так и к одноранговой виртуальной сети. Кроме того, проверьте в IAM, что пользователь имеет доступ для чтения к следующим ресурсам:
- Reader role on the virtual machine.
- Reader role on the NIC with private IP of the virtual machine.
- Reader role on the Azure Bastion resource.
- Роль читателя в виртуальной сети (не требуется, если нет пиринговой виртуальной сети).
| Разрешения | Описание | Тип разрешения |
|---|---|---|
| Microsoft.Network/bastionHosts/read | Gets a Bastion Host | Действие |
| Microsoft.Network/virtualNetworks/BastionHosts/action | Gets Bastion Host references in a virtual network. | Действие |
| Microsoft.Network/virtualNetworks/bastionHosts/default/action | Gets Bastion Host references in a virtual network. | Действие |
| Microsoft.Network/networkInterfaces/read | Возвращает определение сетевого интерфейса. | Действие |
| Microsoft.Network/networkInterfaces/ipconfigurations/read | Возвращает определение IP-конфигурации сетевого интерфейса. | Действие |
| Microsoft.Network/virtualNetworks/read | Получите определение виртуальной сети. | Действие |
| Microsoft.Network/virtualNetworks/subnets/virtualMachines/read | Возвращает ссылки на все виртуальные машины в подсети виртуальной сети. | Действие |
| Microsoft.Network/virtualNetworks/virtualMachines/read | Gets references to all the virtual machines in a virtual network | Действие |
Следующие шаги
Подробные сведения см. в статье Что такое Бастион Azure?