Поделиться через

Настройте запись сеанса Бастиона

В этой статье показано, как настроить запись сеансов в Bastion. Если включена функция записи сеанса Azure Бастиона, можно записать графические сеансы для подключений к виртуальным машинам (RDP и SSH) через узел бастиона. После закрытия или отключения сеанса записанные сеансы хранятся в контейнере BLOB в вашей учетной записи хранения посредством URL SAS. При отключении сеанса вы можете получить доступ к записанным сеансам и просмотреть их в портал Azure на странице записи сеансов. Для записи сеанса требуется номер SKU Бастиона Premium.

Перед тем как начать

В следующих разделах описаны вопросы, ограничения и предварительные требования для записи сеанса Bastion.

Рекомендации и ограничения

  • Номер SKU уровня "Премиум" необходим для этой функции.
  • Запись сеанса недоступна через собственный клиент в настоящее время.
  • Политики неизменяемого хранилища не должны присутствовать
  • Запись сеансов поддерживает только одну учетную запись хранения одновременно.
  • Изменение контейнеров хранилища во время активного сеанса может привести к сбоям в сеансе.
  • Управление версиями BLOB-объектов в записях не должно присутствовать
  • Если запись сеанса включена в развертывании Bastion, Bastion записывает все сеансы, проходящие через хост Bastion с включенной записью.

Необходимые условия

  • Бастион Azure развернут в вашей виртуальной сети. См. руководство. Развертывание бастиона с помощью указанных параметров для шагов.
  • Бастион должен быть настроен для использования премиум SKU для этой функции. При настройке функции записи сеанса можно обновить SKU до уровня "Премиум" с нижнего SKU. Чтобы проверить номер SKU и при необходимости выполнить обновление, см. статью "Просмотр или обновление SKU".
  • Виртуальная машина, которой вы подключаетесь, должна быть развернута в виртуальной сети, содержащей узел бастиона, или в виртуальной сети, которая напрямую подключена к виртуальной сети бастиона.
  • Чтобы просматривать или составлять список записей сеансов, пользователь должен иметь роль Storage Blob Data Reader.

Включение записи сеанса

Вы можете включить запись сеансов при создании нового ресурса узла бастиона или настроить его позже после развертывания Бастиона.

Снимок экрана: страница конфигурации узла бастиона.

Действия по новым развертываниям Бастиона

При ручной настройке и развертывании узла бастиона можно указать уровень SKU и функции на этапе развертывания. Подробные инструкции по развертыванию Бастиона см. в разделе "Развертывание бастиона" с помощью указанных параметров.

  1. На портале Azure выберите "Создать ресурс".
  2. Найдите Бастион Azure и нажмите кнопку "Создать".
  3. Заполните значения с помощью параметров вручную, не забудьте выбрать номер SKU уровня "Премиум".
  4. На вкладке "Дополнительно" выберите "Запись сеанса" , чтобы включить функцию записи сеанса.
  5. Просмотрите сведения и нажмите кнопку "Создать". Бастион сразу же начинает создавать ваш узел бастиона. Этот процесс занимает около 10 минут.

Этапы для существующих развертываний Бастиона

Если вы уже развернули бастион, выполните следующие действия, чтобы включить запись сеансов.

  1. На портале Azure перейдите к ресурсу Бастиона.
  2. На странице Бастиона в левой области выберите "Конфигурация".
  3. На странице "Конфигурация" для уровня выберите "Премиум" , если он еще не выбран. Для этой функции требуется номер SKU уровня "Премиум".
  4. Выберите запись сеанса из перечисленных функций.
  5. Нажмите кнопку "Применить". Бастион немедленно начинает обновление настроек хоста бастиона. Обновления занимают около 10 минут.

Настройка контейнера учетной записи хранения

В этом разделе вы настроили и укажите контейнер для записей сеансов.

  1. Создайте учетную запись хранения в группе ресурсов. Инструкции см. в статье "Создание учетной записи хранения" и предоставление ограниченного доступа к ресурсам службы хранилища Azure с помощью подписанных URL-адресов (SAS).

  2. Создайте контейнер в учетной записи хранения. Это контейнер, который вы будете использовать для хранения ваших записей сеансов Бастиона. Рекомендуется создать эксклюзивный контейнер для записей сеансов. Инструкции см. в разделе "Создание контейнера".

  3. На странице учетной записи хранения в левой области разверните Параметры. Выберите "Общий доступ к ресурсам" (CORS).

  4. Создайте новую политику в Blob-сервисе и сохраните изменения в верхней части страницы.

Имя Ценность
Разрешенные источники https:// за которым следует полное DNS-имя бастиона, начиная с bst-. Имейте в виду, что эти значения чувствительны к регистру.
Разрешенные методы ПОЛУЧАЙ
Допустимые заголовки *
Заголовки, доступные для просмотра *
Максимальный возраст 86400

Добавление или обновление URL-адреса SAS

Чтобы настроить записи сеансов, необходимо добавить URL-адрес SAS в конфигурацию записей сеанса Бастиона. В этом разделе вы создаете SAS URL для BLOB из контейнера, а затем отправляете его на узел bastion.

Ниже приведены инструкции по настройке необходимых параметров непосредственно на странице создания SAS . Однако при необходимости можно настроить некоторые параметры, создав хранимую политику доступа. Затем можно связать хранимую политику доступа с токеном SAS на странице Генерация SAS. Если вы хотите создать хранимую политику доступа, выберите "Разрешения" и "Дата и срок действия" в политике доступа или на странице "Создать SAS ".

  1. На странице учетной записи хранения перейдите в хранилище данных —> контейнеры.
  2. Найдите контейнер, созданный для хранения записей сеансов Бастиона, а затем щелкните 3 точки (многоточия) справа от контейнера и выберите "Создать SAS " в раскрывающемся списке.
  3. На странице "Создать SAS" для Разрешений выберите READ, CREATE, WRITE, LIST.
  4. Для даты и времени начала и окончания срока действия используйте следующие рекомендации:
    • Задайте время начала не менее 15 минут до текущего времени.
    • Задайте время истечения срока действия на далеко идущий срок.
  5. В разделе "Разрешенные IP-адреса" выберите IP-адрес или диапазон IP-адресов, чтобы принять запросы. Дополнительные сведения см. здесь.
  6. В разделе "Разрешенные протоколы" выберите только HTTPS .
  7. Щелкните Создать маркер SAS и URL-адрес. Вы увидите сгенерированные токен Blob SAS и URL-адрес Blob SAS в нижней части страницы.
  8. Скопируйте URL-адрес SAS BLOB-объекта.
  9. Перейдите на бастион хост. В левой области выберите записи сеансов.
  10. В верхней части страницы выберите "Добавить или обновить URL-адрес SAS". Вставьте URL-адрес SAS и нажмите кнопку "Отправить".

Просмотр записи

Сеансы автоматически записываются при включении записи сеансов на сервере бастиона. Записи можно просматривать на портале Azure с помощью встроенного веб-проигрывателя.

  1. На портале Azure перейдите к узлу Bastion.
  2. В области слева в разделе "Параметры" выберите "Записи сеансов".
  3. URL-адрес SAS должен уже быть настроен (ранее в этом упражнении). Однако если срок действия URL-адреса SAS для BLOB-объектов истек или необходимо добавить URL-адрес SAS, выполните предыдущие действия для получения и отправки этого URL-адреса.
  4. Выберите виртуальную машину и ссылку записи, которую вы хотите просмотреть, а затем выберите "Просмотреть запись".

Дальнейшие шаги

Дополнительные сведения о Бастионе см. в разделе "Бастион".