Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В разделах этой статьи идет речь о ресурсах и параметрах Бастиона Azure.
Артикулы (SKU)
Номер SKU также известен как уровень. Бастион Azure поддерживает несколько уровней SKU. При настройке Бастиона выберите уровень SKU. Вы решите уровень SKU на основе функций, которые вы хотите использовать. В следующей таблице показана доступность функций для каждого соответствующего SKU.
| Функция | "Базовый SKU" | Стандартный артикул | Номер SKU уровня "Премиум" |
|---|---|---|---|
| Подключение к целевым виртуальным машинам в одной виртуальной сети | Да | Да | Да |
| Подключитесь к целевым виртуальным машинам в одноранговых виртуальных сетях | Да | Да | Да |
| Поддержка одновременных подключений | Да | Да | Да |
| Доступ к закрытым ключам виртуальной машины Linux в Azure Key Vault (AKV) | Да | Да | Да |
| Подключение к виртуальной машине Linux с помощью SSH | Да | Да | Да |
| Подключение к виртуальной машине Windows с помощью RDP | Да | Да | Да |
| Подключение к виртуальной машине Linux с помощью RDP | Нет | Да | Да |
| Подключение к виртуальной машине Windows с помощью SSH | Нет | Да | Да |
| Определение настраиваемого входящего порта | Нет | Да | Да |
| Подключение к виртуальным машинам с помощью Azure CLI | Нет | Да | Да |
| Масштабирование хостов | Нет | Да | Да |
| Отправка или скачивание файлов | Нет | Да | Да |
| Проверка подлинности Kerberos | Да | Да | Да |
| Ссылка, доступная для общего доступа | Нет | Да | Да |
| Подключение к виртуальным машинам с помощью IP-адреса | Нет | Да | Да |
| Выход звука виртуальной машины | Да | Да | Да |
| Отключение копирования и вставки (веб-клиенты) | Нет | Да | Да |
| Запись сеанса | Нет | Нет | Да |
| Развертывание только для частного использования | Нет | Нет | Да |
Разработчик «Бастион»
Бастион Разработчик — это бесплатное упрощенное предложение службы Бастиона Azure. Это предложение идеально подходит для пользователей разработки и тестирования, которые хотят безопасно подключиться к виртуальным машинам, но не требуют дополнительных функций Бастиона или масштабирования узлов. С помощью разработчика Бастиона вы можете подключиться к одной виртуальной машине Azure одновременно с помощью страницы подключения к виртуальной машине.
При подключении к Bastion Developer требования к развертыванию отличаются от требований при развертывании с использованием других SKU (идентификаторов товара). Обычно при создании узла бастиона он развертывается в подсети AzureBastionSubnet вашей виртуальной сети. Выделенный сервер Bastion предназначен для вашего использования, а Bastion Developer - нет. Так как ресурс Bastion Developer не выделен, функции Bastion Developer ограничены. Вы всегда можете обновить Bastion Developer до определенного SKU, если вам нужна поддержка дополнительных функций. См. статью об обновлении номера SKU.
В настоящее время Bastion Developer доступен в следующих регионах:
- Центральная Австралия
- Восточная Австралия
- Юго-Восточная часть Австралии
- Бразилия Юг
- Центральная Канада
- Восточная Канада
- Центральная Индия
- Центральная часть США
- Центральная часть США (EUAP)
- Восточная Азия
- Восточная часть США 2
- Восток США 2 (EUAP)
- Центральная Франция
- Западно-Центральная Германия
- Италия Север
- Восточная Япония
- Западная Япония
- Центральная Корея
- Корея (юг)
- Центральная Мексика
- Центрально-северная часть США
- Северная Европа
- Восточная Норвегия
- Центральная Польша
- Северная часть ЮАР
- Южная Индия
- Центральная Испания
- Юго-Восточная Азия
- Центральная Швеция
- Северная Швейцария
- Северная часть ОАЭ;
- южная часть Соединенного Королевства
- Западная часть Великобритании
- Западная Европа
- западная часть США
- Центрально-западная часть США
Примечание.
В настоящее время пиринг виртуальных сетей не поддерживается для Bastion Developer.
Номер SKU уровня "Премиум"
SKU уровня "Премиум" — это новая SKU, поддерживающая функции бастиона, такие как запись сеансов и бастион только для частного использования. При развертывании Бастиона рекомендуется выбрать номер SKU уровня "Премиум", только если вам нужны поддерживаемые функции.
Укажите SKU
| Способ | Значение SKU | Ссылки. |
|---|---|---|
| Портал Azure | Уровень — разработчик | Quickstart |
| Портал Azure | Уровень — стандартный | Краткое руководство |
| Портал Azure | Уровень — базовый или более высокий | Руководство |
| Azure PowerShell | Уровень — базовый или более высокий | Практическое руководство |
| Azure CLI (интерфейс командной строки) | Уровень — базовый или более высокий | Практическое руководство |
Обновить SKU
Вы всегда можете обновить номер SKU, чтобы добавить дополнительные функции. Дополнительные сведения см. в статье об обновлении номера SKU.
Примечание.
Понижение уровня SKU не поддерживается. Чтобы понизить версию, необходимо удалить и заново создать Бастион Azure.
Подсеть Бастиона Azure
Внимание
Для ресурсов Бастиона Azure, развернутых 2 ноября 2021 г. или после этой даты, минимальный размер AzureBastionSubnet должен составлять /26 или больше (/25, /24 и т. д.). Все ресурсы Бастиона Azure, развернутые в подсетях размером /27 до этой даты, не затрагиваются этим изменением и будут продолжать работать. Однако мы настоятельно рекомендуем увеличить размер любого существующего AzureBastionSubnet до /26, если вы решите воспользоваться преимуществами масштабирования узла в будущем.
При развертывании Azure Bastion с использованием любого SKU, кроме предложения Bastion Developer, требуется выделенная подсеть, названная AzureBastionSubnet. Эту подсеть необходимо создать в той же виртуальной сети, где необходимо развернуть Бастион Azure. Подсеть должна иметь следующую конфигурацию:
- Именем подсети должно быть AzureBastionSubnet.
- Размер подсети должен быть /26 или больше (/25, /24 и т. д.).
- Для масштабирования узла рекомендуется использовать подсеть размером /26 или более крупную. При использовании подсети меньшего размера количество единиц масштабирования ограничено. Дополнительную информацию см. в разделе Масштабирование узла этой статьи.
- Подсеть должна находиться в той же виртуальной сети и группе ресурсов, что и узел Bastion.
- Подсеть не может содержать другие ресурсы.
Вы можете настроить этот параметр, используя следующие методы:
| Способ | Значение | Ссылки. |
|---|---|---|
| Портал Azure | Подсеть |
Краткое руководство Руководство |
| Azure PowerShell | -subnetName | командлет |
| Azure CLI (интерфейс командной строки) | --subnet-name | command |
Общедоступный IP-адрес
Для развертываний Azure Bastion, кроме для разработчиков (Developer) и только частного (Private-only), требуется общедоступный IP-адрес. Общедоступный IP-адрес должен иметь следующую конфигурацию:
- SKU общедоступного IP-адреса должен быть Стандартный.
- Метод назначения или распределения общедоступного IP-адреса должен быть статическим.
- Имя общедоступного IP-адреса — это имя ресурса, по которому можно будет ссылаться на этот общедоступный IP-адрес.
- Вы можете использовать уже созданный общедоступный IP-адрес, если он соответствует критериям, необходимым бастиону Azure, и он еще не используется.
Вы можете настроить этот параметр, используя следующие методы:
| Способ | Значение | Ссылки. |
|---|---|---|
| Портал Azure | Общедоступный IP-адрес | Портал Azure |
| Azure PowerShell | -Публичный IP-адрес | командлет |
| Azure CLI (интерфейс командной строки) | --public-ip создать | command |
Экземпляры и масштабирование хоста
Экземпляр — это оптимизированная виртуальная машина Azure, которая создается при настройке Azure Bastion. Он полностью управляется Azure и выполняет все процессы, необходимые для Бастиона Azure. Экземпляр также называется единицей масштабирования. Вы подключаетесь к виртуальным машинам клиента через экземпляр Azure Bastion. При настройке Бастиона Azure с помощью номера SKU "Базовый" создаются два экземпляра. Если используется номер SKU категории "Стандартный" или более поздней версии, можно указать количество экземпляров (не менее двух экземпляров). Этот процесс называется масштабированием узла.
Каждый экземпляр может поддерживать 20 одновременных подключений RDP и 40 одновременных подключений SSH для средних рабочих нагрузок (дополнительные сведения см. в разделе об ограничениях и квотах подписки Azure). Количество подключений на один экземпляр зависит от того, какие действия вы выполняете при подключении в клиентскую виртуальную машину. Например, если вы делаете что-то нагружающее данные, это создает большую нагрузку на экземпляр для обработки. После превышения одновременных сессий требуется еще одна единица масштабирования (инстанция).
Экземпляры создаются в AzureBastionSubnet. Чтобы обеспечить масштабирование узла, AzureBastionSubnet должен быть равен /26 или больше. При использовании меньшей подсети количество экземпляров, которые можно создать, ограничено. Дополнительные сведения об AzureBastionSubnet см. в разделе о подсетях этой статьи.
Вы можете настроить этот параметр, используя следующие методы:
| Способ | Значение | Ссылки. | Требуется SKU уровня "Стандартный" или выше |
|---|---|---|---|
| Портал Azure | Число экземпляров | Практическое руководство | Да |
| Azure PowerShell | ScaleUnit | Практическое руководство | Да |
Пользовательские порты
Вы можете указать порт, который хотите использовать для подключения к виртуальным машинам. По умолчанию для подключения используются следующие входящие порты: 3389 (протокол RDP) и 22 (протокол SSH). Если вы используете пользовательский порт, укажите его значение при подключении к виртуальной машине.
Пользовательские значения портов поддерживаются только для SKU уровня "Стандартный" или выше.
Ссылка, доступная для общего доступа
Функция 'Ссылка для обмена' Azure Bastion позволяет пользователям подключаться к целевому ресурсу с помощью Azure Bastion без доступа к порталу Azure.
Когда пользователь без учетных данных Azure щелкает общую ссылку, откроется веб-страница, которая предложит пользователю войти в целевой ресурс через RDP или SSH. Пользователи проходят проверку подлинности с помощью имени пользователя и пароля или закрытого ключа в зависимости от того, что вы настроили в портал Azure для этого целевого ресурса. Пользователи могут подключаться к тем же ресурсам, к которым можно подключиться с помощью Бастиона Azure: виртуальных машин или масштабируемого набора виртуальных машин.
| Способ | Значение | Ссылки. | Требуется SKU уровня "Стандартный" или выше |
|---|---|---|---|
| Портал Azure | Ссылка для общего доступа | Настройка | Да |
Развертывание только для частного использования
Развертывания бастиона только для частной сети обеспечивают защиту рабочих нагрузок от начала до конца, создавая развертывание бастиона, недоступное через Интернет и позволяющее доступ только по частным IP-адресам. Развертывания бастиона с исключительно частным доступом не разрешают подключения к бастиону через общедоступный IP-адрес. В отличие от этого, обычное развертывание Бастиона Azure позволяет пользователям подключаться к узлу бастиона с помощью общедоступного IP-адреса. Дополнительные сведения см. в разделе «Развертывание бастиона в режиме только частного доступа».
Запись сеанса
Если включена функция записи сеанса Azure Бастиона, можно записать графические сеансы для подключений к виртуальным машинам (RDP и SSH) через узел бастиона. После закрытия или отключения сеанса записанные сеансы хранятся в контейнере BLOB в вашей учетной записи хранения посредством URL SAS. При отключении сеанса вы можете получить доступ к записанным сеансам и просмотреть их в портал Azure на странице записи сеансов. Для записи сеанса требуется номер SKU Бастиона Premium. Дополнительные сведения см. в записи сеансов Бастиона .
Зоны доступности
Некоторые регионы поддерживают возможность развертывания Azure Bastion в зоне доступности (или нескольких, для зональной избыточности). Чтобы развернуть зонально, разверните бастион с помощью вручную указанных параметров (не развертывайте с помощью автоматических параметров по умолчанию). Укажите требуемые зоны доступности во время развертывания. Вы не можете изменить зональную доступность после развертывания Бастиона.
Поддержка Зоны доступности в настоящее время доступна в предварительной версии. Во время предварительной версии доступны следующие регионы:
- Восточная часть США
- Восточная Австралия
- Восточная часть США 2
- Центральная часть США
- Центральный Катар
- Северная часть ЮАР
- Западная Европа
- западная часть США 2
- Северная Европа
- Центральная Швеция
- южная часть Соединенного Королевства
- Центральная Канада
Следующие шаги
Часто задаваемые вопросы см. в разделе с вопросами и ответами о Бастионе Azure.