Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Часто задаваемые вопросы о сервисе Bastion и его развертывании
Какие браузеры поддерживаются?
Используемый браузер должен поддерживать HTML 5. Используйте браузер Microsoft Edge или Google Chrome в ОС Windows. Для Apple Mac используйте браузер Google Chrome. Microsoft Edge Chromium также поддерживают ОС Windows и Mac.
Как действуют цены?
Цены на Azure Bastion — это сочетание почасовых тарифов, зависящих от SKU и экземпляров (единиц масштабирования), и тарифов за передачу данных. Почасовая тарификация начинается с момента развертывания Bastion, независимо от объема передаваемых данных. Для получения актуальной информации о ценах перейдите на страницу с ценами Azure Bastion.
Поддерживается ли IPv6?
Сейчас IPv6 не поддерживается. Служба "Бастион Azure" поддерживает только IPv4. Это означает, что ресурсу Бастиона вы можете назначить только общедоступный IP-адрес IPv4 и использовать Бастион для подключения к целевым виртуальным машинам с поддержкой IPv4. Бастион также можно использовать для подключения к целевым виртуальным машинам с двумя стеками, но через Бастион Azure вы сможете отправлять и получать только трафик IPv4.
Где Бастион Azure хранит данные клиента?
Бастион Azure не перемещает и не хранит данные клиента за пределами региона, в котором он развернут.
Поддерживает ли Azure Bastion зоны доступности?
Сведения о поддержке зоны доступности в Бастионе Azure см. в статье "Надежность" в Бастионе Azure.
Поддерживает ли Бастион Azure Виртуальную глобальную сеть?
Да, Бастион Azure можно использовать для развертываний Виртуальной глобальной сети. Однако развертывание Бастиона Azure в концентраторе Виртуальной глобальной сети не поддерживается. Вы можете развернуть Azure Bastion в периферийной виртуальной сети и использовать функцию подключения на основе IP-адресов для подключения к виртуальным машинам, развернутым в другой виртуальной сети через хаб виртуальной WAN. Если узел Azure Virtual WAN будет интегрирован с Брандмауэром Azure в качестве защищенного виртуального концентратора, AzureBastionSubnet должен находиться в виртуальной сети, где распространение маршрута по умолчанию 0.0.0.0/0 отключено на уровне подключения виртуальной сети.
Поддерживает ли Azure Bastion Azure Route Server?
Да, вы можете использовать Azure Bastion с развертываниями Azure Route Server с оговоркой. Бастион поддерживается в сценариях, когда сервер маршрутизации не объявляет 0.0.0.0/0 в виртуальной сети, в которой развернут бастион. Маршрутизатор может объявить маршрут 0.0.0.0/0, создав сценарий принудительного туннелирования, который приведет к разрыву подключения для службы Бастиона.
Можно ли использовать Azure Bastion, если я принудительно туннелирую интернет-трафик обратно в локальную сеть?
Нет, если вы объявляете маршрут по умолчанию (0.0.0.0/0) через ExpressRoute или VPN, и этот маршрут внедряется в ваши виртуальные сети, это нарушит работу службы Azure Bastion.
Для успешного подключения к целевым ресурсам Бастион Azure должен иметь возможность взаимодействовать с определенными внутренними конечными точками. Поэтому вы можете использовать Бастион Azure с Частными зонами DNS Azure, если выбранное имя зоны не пересекается с именами этих внутренних конечных точек. Прежде чем развертывать ресурс Azure Bastion, убедитесь в том, что виртуальная сеть хоста не связана с частной зоной DNS, точно соответствующей одному из следующих имен:
- management.azure.com
- blob.core.windows.net
- core.windows.net
- vaultcore.windows.net
- vault.azure.net
- azure.com
Вы можете использовать частную зону DNS, заканчивающуюся одним из имен в предыдущем списке (например, privatelink.blob.core.windows.net).
Azure Bastion не поддерживается в Частных зонах DNS Azure в национальных облаках.
Поддерживает ли Azure Bastion Private Link?
Нет, Azure Bastion в настоящее время не поддерживает Azure Private Link.
Требуются ли специальные разрешения для развертывания Бастиона в AzureBastionSubnet?
Чтобы развернуть Бастион в AzureBastionSubnet, требуются следующие разрешения RBAC: Microsoft.Network/virtualNetworks/write, Microsoft.Network/virtualNetworks/subnets/join/action и Microsoft.Network/publicIPAddresses.
Можно ли использовать подсеть Бастиона Azure размером /27 или меньше (/28, /29 и т. д.)?
Для ресурсов Бастиона Azure, развернутых 2 ноября 2021 г. или после этой даты, минимальный размер AzureBastionSubnet должен составлять /26 или больше (/25, /24 и т. д.). Все ресурсы Бастиона Azure, развернутые в подсетях размера /27 до этой даты, не затронуты этим изменением и будут продолжать работать. Однако мы настоятельно рекомендуем увеличить размер любой существующей подсети AzureBastionSubnet до /26, если вы решите воспользоваться преимуществами масштабирования узла в будущем.
Можно ли развернуть несколько ресурсов Azure в подсети Бастиона Azure?
No. Подсеть Бастиона Azure (AzureBastionSubnet) зарезервирована только для развертывания ресурса Бастиона Azure.
Поддерживаются ли определяемые пользователем маршруты в подсети Бастиона Azure?
No. UDR не поддерживается в подсети Бастиона Azure.
В сценариях, в которых Бастион Azure и Брандмауэр Azure или виртуальный сетевой модуль (NVA) находятся в одной виртуальной сети, не нужно принудительно перенаправлять трафик из подсети Бастиона Azure в Брандмауэр Azure, так как обмен данными между Бастионом Azure и виртуальными машинами выполняется по частному каналу. Для получения дополнительной информации смотрите руководство по получению доступа к виртуальным машинам за Брандмауэром Azure с помощью Бастиона.
Какой номер SKU следует использовать?
Azure Bastion имеет несколько вариантов SKU. Вы должны выбрать номер SKU на основе требований к подключению и функциям. Полный список уровней SKU и поддерживаемых подключений и функций см. в статье "Сравнение номеров SKU " и статье "Параметры конфигурации ".
Можно ли обновить номер SKU?
Да. Инструкции см. в разделе Обновление SKU. Дополнительные сведения о номерах SKU см. в статье Сравнение SKU.
Можно ли понизить версию SKU?
No. Понижение номера SKU не поддерживается. Дополнительные сведения о номерах SKU см. в статье Сравнение SKU.
Поддерживает ли Бастион подключение к Виртуальному рабочему столу Azure?
Нет, подключение Бастиона к Виртуальному рабочему столу Azure не поддерживается.
Поддерживает ли Бастион перемещение виртуальной сети в другую группу ресурсов?
No. При перемещении виртуальной сети в другую группу ресурсов (даже если она находится в той же подписке), необходимо сначала удалить Бастион из виртуальной сети, а затем перейти к перемещению виртуальной сети в новую группу ресурсов. После того как виртуальная сеть перемещена в новую группу ресурсов, вы можете развернуть Bastion в виртуальной сети.
Поддерживает ли Бастион гостевые учетные записи Microsoft Entra?
Да, гостевым учетным записям Microsoft Entra можно предоставить доступ к Бастиону и подключить их к виртуальным машинам. Однако гостевые пользователи Microsoft Entra не могут подключаться к виртуальным машинам Azure с помощью проверки подлинности Microsoft Entra. Пользователи, не являющиеся гостевыми, поддерживаются с помощью проверки подлинности Microsoft Entra. Дополнительные сведения о проверке подлинности Microsoft Entra для виртуальных машин Azure (для не гостевых пользователей) см. в статье "Вход в виртуальную машину Windows в Azure" с помощью идентификатора Microsoft Entra.
Поддерживаются ли пользовательские домены с ссылками для общего доступа Bastion?
Нет, пользовательские домены не поддерживаются с публичными ссылками Bastion. Пользователи получают ошибку сертификата при попытке добавить определенные домены в CN/SAN сертификата узла Бастиона.
Часто задаваемые вопросы о подключении к виртуальной машине и доступных функциях
Нужны ли какие-то роли для доступа к виртуальной машине?
Для установления подключения требуются следующие роли:
- роль читателя на виртуальной машине;
- Роль чтеца на сетевом адаптере с частным IP-адресом виртуальной машины.
- Роль пользователя с правами чтения в ресурсе Azure Bastion.
- Роль читателя в виртуальной сети целевой виртуальной машины (если развертывание Bastion находится в одноранговой виртуальной сети).
Кроме того, пользователь должен иметь права (при необходимости) для подключения к виртуальной машине. Например, если пользователь подключается к виртуальной машине Windows через RDP и не является членом локальной группы администраторов, он должен быть членом группы пользователей удаленных рабочих столов.
Нужен ли моей виртуальной машине общедоступный IP-адрес для подключения через Бастион Azure?
No. При подключении к виртуальной машине с использованием Azure Bastion вам не требуется общедоступный IP-адрес на этой виртуальной машине Azure. Служба Bastion открывает сеанс RDP/SSH или подключение к вашей виртуальной машине через ее частный IP-адрес в вашей виртуальной сети.
Нужен ли клиент RDP или SSH?
No. Вы можете получить доступ к виртуальной машине на портале Azure с помощью браузера. Информацию о доступных подключениях и методах см. в статье Сведения о подключениях и функциях виртуальных машин.
Требуются ли пользователям определенные права на целевой виртуальной машине для подключений RDP?
Когда пользователь подключается к виртуальной машине Windows через RDP, он должен иметь права на целевую виртуальную машину. Если пользователь не является локальным администратором, добавьте пользователя в группу пользователей удаленных рабочих столов на целевой виртуальной машине.
Можно ли подключиться к виртуальной машине с помощью собственного клиента?
Да. Вы можете подключиться к виртуальной машине с локального компьютера с помощью собственного клиента. См. статью Подключение к виртуальной машине с помощью собственного клиента.
Нужно ли запускать агент на виртуальной машине Azure?
No. В браузере или на виртуальной машине Azure не нужно устанавливать агент или другое программное обеспечение. Служба "Бастион" работает без агента и не требует дополнительного программного обеспечения для RDP и SSH.
Какие функции поддерживаются для сеансов виртуальных машин?
Информацию о поддерживаемых функциях см. в статье Сведения о подключениях и функциях виртуальных машин.
Доступен ли удаленный аудиовыход для виртуальных машин?
Да. См. статью Сведения о подключениях и функциях виртуальных машин.
Поддерживает ли Бастион Azure передачу файлов?
Бастион Azure поддерживает передачу файлов между целевой виртуальной машиной и локальным компьютером с помощью Бастиона и клиента RDP или SSH. В настоящее время нельзя отправлять или скачивать файлы с помощью PowerShell или портала Azure. Дополнительные сведения см. в статье Отправка и скачивание файлов с помощью собственного клиента.
Работает ли Bastion с виртуальными машинами, подключенными через расширение Entra ID?
Бастион работает с виртуальными машинами, присоединенными к расширению Entra ID для пользователей Microsoft Entra, поддерживая RDP и SSH на родном клиенте и только SSH на портале. Entra ID для RDP в портале еще не поддерживается. Дополнительные сведения см. в статье "Вход в виртуальную машину Windows в Azure" с помощью идентификатора Microsoft Entra.
Поддерживает ли Бастион сценарии, связанные с RDS?
Бастион не поддерживает сценарии, связанные с RDS.
Какие раскладки клавиатуры поддерживаются во время удаленного сеанса с использованием службы "Бастион"?
В настоящее время служба "Бастион" Azure поддерживает в виртуальной машине следующие раскладки клавиатуры:
- en-us-qwerty
- en-gb-qwerty
- de-ch-qwertz
- de-de-qwertz
- fr-be-azerty
- fr-fr-azerty
- fr-ch-qwertz
- hu-hu-qwertz
- it-it-qwerty
- ja-jp-qwerty
- pt-br-qwerty
- es-es-qwerty
- es-latam-qwerty
- sv-se-qwerty
- tr-tr-qwerty
Чтобы установить правильное сопоставление клавиш для вашего целевого языка, необходимо установить раскладку клавиатуры на локальном компьютере и на целевой виртуальной машине в соответствии с вашим целевым языком. Обе клавиатуры должны быть установлены в соответствии с целевым языком, чтобы установить правильные сопоставления ключей на целевой виртуальной машине.
Чтобы задать целевой язык в качестве раскладки клавиатуры на рабочей станции Windows, перейдите к разделу "Параметры > времени и языка языка > " и "Регион". В разделе "Предпочитаемые языки" выберите "Добавить язык" и добавьте свой целевой язык. После этого вы сможете просмотреть раскладки клавиатуры на панели инструментов. Чтобы задать английский (США) в качестве раскладки клавиатуры, выберите "ENG" на панели инструментов или нажмите кнопку Windows + Пробел, чтобы открыть раскладки клавиатуры.
Существует ли решение клавиатуры для переключения фокуса между виртуальной машиной и браузером?
Пользователи могут использовать ctrl+SHIFT+ALT для эффективного переключения фокуса между виртуальной машиной и браузером.
Как вернуть фокус клавиатуры или мыши из экземпляра?
Дважды щелкните клавишу Windows подряд, чтобы вернуть фокус в окне Бастион.
Какое максимальное разрешение экрана поддерживает Бастион?
В настоящее время поддерживается максимальное разрешение 1920x1080 (1080p).
Поддерживает ли Бастион Azure настройку часового пояса или перенаправление часового пояса для целевых виртуальных машин?
Бастион Azure в настоящее время не поддерживает перенаправление часовых поясов и настройку часового пояса. Параметры часового пояса для виртуальной машины можно обновить вручную после успешного подключения к гостевой ОС.
Будет ли существующий сеанс отключен во время обслуживания на узле Бастиона?
Да, существующие сеансы отключены во время обслуживания ресурса "Bastion".
Часто задаваемые вопросы об пиринге между виртуальными сетями
Можно ли по-прежнему развертывать несколько узлов Бастиона в одноранговых виртуальных сетях?
Да. По умолчанию пользователь видит хост-бастион, развернутый в той же виртуальной сети, в которой находится виртуальная машина. Однако в меню Connect пользователь может видеть несколько хостов Bastion, обнаруженных в подключенных сетях. Они могут выбрать сервер Бастиона, который предпочитают использовать для подключения к виртуальной машине, развернутой в виртуальной сети.
Если виртуальные сети, подключенные по одноранговому принципу, развернуты в разных подписках, будет ли работать подключение через Bastion?
Да, подключение через Бастион продолжает работать для одноранговых виртуальных сетей в разных подписках для одного клиента. Подписки между двумя разными клиентами не поддерживаются. Чтобы увидеть Бастион в раскрывающемся меню Подключение, пользователь должен выбрать подписки, к которым у него есть доступ, в разделе Подписка > глобальная подписка.
Следующие шаги
Подробные сведения см. в статье Что такое Бастион Azure?