Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье показано, как настроить запись сеансов в Bastion. Если включена функция Запись сеансов Azure Bastion, можно записывать графические сеансы для подключений к виртуальным машинам (RDP и SSH) через узел бастиона. После закрытия или отключения сеанса записанные сеансы хранятся в контейнере BLOB в вашей учетной записи хранения посредством URL SAS. Если сеанс отключен, вы можете получить доступ к записанным сеансам и просмотреть их на портале Azure на странице записи сеансов. Для записи сеанса требуется номер SKU Бастиона Premium.
Замечание
Запись графических сеансов Azure Bastion поддерживает использование управляемых удостоверений для аутентификации в учетной записи хранения, избавляясь от необходимости управления маркерами SAS. Вы можете использовать управляемое удостоверение, назначаемое системой или назначаемое пользователем. Общие сведения об управляемых удостоверениях см. в разделе Что такое управляемые удостоверения для ресурсов Azure?.
Рекомендации
- Номер SKU уровня "Премиум" необходим для этой функции.
- На данный момент на портале поддержка Entra ID для сеансов RDP не может использоваться одновременно с визуальной записью сеансов.
- Запись сеанса недоступна через собственный клиент в настоящее время.
- Политики неизменяемого хранения не должны существовать.
- Запись сеансов поддерживает только одну учетную запись хранения одновременно.
- Изменение контейнеров хранилища во время активного сеанса может привести к сбоям в сеансе.
- Управление версиями BLOB-объектов в записях не должно присутствовать.
- Если запись сеанса включена в развертывании Bastion, Bastion записывает все сеансы, проходящие через хост Bastion с включенной записью.
Необходимые условия
- Azure Bastion развертывается в вашей виртуальной сети. Инструкции см. в разделе Quickstart: развертывание Azure Bastion на портале Azure.
- Бастион должен быть настроен для использования номера SKU уровня "Премиум" для этой функции. При настройке функции записи сеанса можно обновить SKU до уровня "Премиум" с нижнего SKU. Чтобы проверить номер SKU и при необходимости выполнить обновление, см. статью "Просмотр или обновление SKU".
- Виртуальная машина, которой вы подключаетесь, должна быть развернута в виртуальной сети, содержащей узел бастиона, или в виртуальной сети, которая напрямую подключена к виртуальной сети бастиона.
- Чтобы просматривать или составлять список записей сеансов, пользователь должен иметь роль Storage Blob Data Reader.
Включение записи сеанса
Вы можете включить запись сеансов при создании нового ресурса узла бастиона или настроить его позже после развертывания Бастиона.
Действия по новым развертываниям Бастиона
При ручной настройке и развертывании узла бастиона можно указать SKU и функции во время развертывания. Подробные инструкции по развертыванию Бастиона см. в разделе Deploy Бастион на портале Azure.
- На портале Azure выберите Create a Resource.
- Найдите Azure Bastion и выберите Create.
- Заполните значения с помощью параметров вручную, не забудьте выбрать номер SKU уровня "Премиум".
- На вкладке "Дополнительно" выберите "Запись сеанса" , чтобы включить функцию записи сеанса.
- Просмотрите сведения и нажмите кнопку "Создать". Бастион сразу же начинает создавать ваш узел бастиона. Этот процесс занимает около 10 минут.
Этапы для существующих развертываний Бастиона
Если вы уже развернули бастион, выполните следующие действия, чтобы включить запись сеансов.
- На портале Azure перейдите к ресурсу Бастиона.
- На странице Бастиона в левой области выберите "Конфигурация".
- На странице "Конфигурация" для уровня выберите "Премиум" , если он еще не выбран. Для этой функции требуется номер SKU уровня "Премиум".
- Выберите запись сеанса из перечисленных функций.
- Нажмите кнопку "Применить". Бастион немедленно начинает обновление настроек хоста бастиона. Обновления занимают около 10 минут.
Настройка контейнера учетной записи хранения
В этом разделе вы настроили и укажите контейнер для записей сеансов.
Создайте учетную запись хранения в группе ресурсов. Для получения инструкций см. Создание учетной записи хранилища и Предоставление ограниченного доступа к ресурсам Azure Storage с помощью разделяемых подписи доступа (SAS).
Создайте контейнер в учетной записи хранения. Это контейнер, который вы будете использовать для хранения ваших записей сеансов Бастиона. Рекомендуется создать эксклюзивный контейнер для записей сеансов. Инструкции см. в разделе "Создание контейнера".
На странице учетной записи хранения в левой области разверните Параметры. Выберите "Общий доступ к ресурсам" (CORS).
Создайте политику в службе BLOB-объектов со следующими значениями и сохраните изменения в верхней части страницы.
Имя Ценность Разрешенные источники https://за которым следует полное DNS-имя бастиона, начиная сbst-. Имейте в виду, что эти значения чувствительны к регистру.Разрешенные методы ПОЛУЧАЙ Допустимые заголовки * Заголовки, доступные для просмотра * Максимальный возраст 86400
Настройка доступа к хранилищу и просмотр записей
Замечание
Дальнейшие шаги предназначены для настройки управляемого удостоверения, назначаемого системой. Назначенные пользователем удостоверения следуют аналогичным шагам.
Ниже приведены шаги, которые помогут вам с конфигурацией необходимых параметров для использования управляемого удостоверения. Управляемое удостоверение — это рекомендуемый метод проверки подлинности.
Выберите ресурс Bastion и перейдите на панель Удостоверение.
Установите статус на Вкл и дождитесь, пока завершится конфигурация.
Выберите назначения ролей Azure и выберите Добавить назначение роли (предварительная версия).
Объем Subscription Ресурс Роль Хранение Подписка на учетную запись хранения Имя учетной записи хранения Вкладчик данных хранилища BLOB Нажмите кнопку "Сохранить", чтобы сохранить назначение роли.
Вернитесь к ресурсу Бастиона и выберите "Конфигурация " в левой области.
В разделе "Конфигурация записи сеансов" выберите системно назначенное управляемое удостоверение и введите URI контейнера блоб-объектов для контейнера хранилища.
Просмотр записи
Сеансы автоматически записываются при включении записи сеансов на сервере бастиона. Записи можно просматривать на портале Azure через интегрированный веб-проигрыватель.
- На портале Azure перейдите к узлу Bastion.
- В области слева в разделе "Параметры" выберите "Записи сеансов".
- Выберите виртуальную машину и ссылку записи, которую вы хотите просмотреть, а затем выберите "Просмотреть запись".
Дальнейшие шаги
- Узнайте о управляемых удостоверениях для ресурсов Azure и устранении необходимости управления учетными данными для проверки подлинности в службах Azure.
- Узнайте о Azure Bastion, полностью управляемой службе, которая обеспечивает безопасное и простое подключение RDP/SSH к виртуальным машинам без предоставления портов RDP/SSH внешним образом.
- Узнайте больше о часто задаваемых вопросах о Azure Bastion.