本文中的各个部分介绍 Azure Bastion 的资源和设置。
Azure Bastion 子网
重要
对于在 2021 年 11 月 2 日或之后部署的 Azure Bastion 资源,最小的 AzureBastionSubnet 大小为 /26 或更大(/25、/24 等)。 在此日期之前部署在大小为 /27 的子网中的所有 Azure Bastion 资源不受此更改的影响,并且将会继续工作,但强烈建议将任何现有的 AzureBastionSubnet 的大小增加到 /26,以防你未来会选择利用主机缩放。
使用除 Bastion 开发人员产品/服务以外的任何 SKU 部署 Azure Bastion 时,Bastion 需要一个名为 AzureBastionSubnet 的专用子网。 必须在要将 Azure Bastion 部署到的同一虚拟网络中创建此子网。 该子网必须采用以下配置:
- 子网名称必须是 AzureBastionSubnet。
- 子网大小必须为 /26 或更大(/25、/24 等)。
- 要进行主机缩放,建议使用 /26 或更大的子网。 使用较小的子网空间会限制缩放单元的数量。 有关详细信息,请参阅本文的主机缩放部分。
- 该子网必须与堡垒主机位于同一虚拟网络和资源组中。
- 子网不能包含其他资源。
可使用以下方法配置此设置:
| 方法 | 值 | 链接 |
|---|---|---|
| Azure 门户 | 子网 |
快速入门 教程 |
| Azure PowerShell | -subnetName | cmdlet |
| Azure CLI | --subnet-name | 命令 |
公共 IP 地址
Azure Bastion 部署(Bastion 开发人员和 专用部署除外)需要公共 IP 地址。 该公共 IP 必须采用以下配置:
- 公共 IP 地址 SKU 必须为“标准”。
- 公共 IP 地址分配方法必须为“静态”。
- 公共 IP 地址名称是要用于引用此公共 IP 地址的资源名称。
- 可以选择使用已创建的公共 IP 地址,前提是该地址符合 Azure Bastion 所需的条件,并且未被使用。
可使用以下方法配置此设置:
| 方法 | 值 | 链接 |
|---|---|---|
| Azure 门户 | 公共 IP 地址 | Azure 门户 |
| Azure PowerShell | -公共IP地址 | cmdlet |
| Azure CLI | --public-ip create (用于创建公共IP) | 命令 |
配置可用性区域的公共 IP 地址
请参阅下表,了解如何创建/使用区域 Bastion 部署的公共 IP 地址:
| Scenario | Bastion 可用性区域 | 公共 IP 可用性区域 |
|---|---|---|
| 创建新的公共 IP | 1, 2, 3 | 1, 2, 3 |
| 1 | 1, 2, 3 | |
| 使用现有的公共 IP | 1, 2, 3 | 1, 2, 3 |
| 1 | 1, 2, 3 | |
| 0 | 所有公共 IP、区域或非区域性 IP |
实例和主机缩放
实例是配置 Azure Bastion 时创建的已优化 Azure VM。 它完全由 Azure 管理,运行 Azure Bastion 所需的所有进程。 实例也称为缩放单元。 通过 Azure Bastion 实例连接到客户端 VM。 使用基本 SKU 配置 Azure Bastion 时,将创建两个实例。 如果使用标准 SKU 或更高版本,则可以指定实例数(至少为两个实例)。 这称为“主机缩放”。
每个实例都可以为中型工作负载支持 20 个并发的 RDP 连接和 40 个并发的 SSH 连接(有关详细信息,请参阅 Azure 订阅限制和配额)。 每个实例的连接数取决于连接到客户端 VM 时执行的操作。 例如,如果执行某种数据密集型操作,则会创建较大的负载供实例处理。 超过并发会话数后,需要创建其他缩放单元(实例)。
实例是在 AzureBastionSubnet 中创建的。 要进行主机缩放,AzureBastionSubnet 应为 /26 或更大的值。 使用较小的子网会限制可创建的实例数。 有关 AzureBastionSubnet 的详细信息,请参阅本文中的子网部分。
可使用以下方法配置此设置:
| 方法 | 值 | 链接 | 需要标准 SKU 或更高版本 |
|---|---|---|---|
| Azure 门户 | 实例计数 | 操作方法 | 是 |
| Azure PowerShell | 缩放单元 | 操作方法 | 是 |
自定义端口
可以指定要用来连接到 VM 的端口。 默认情况下,对于 RDP 和 SSH,用于连接的入站端口分别为 3389 和 22。 如果配置自定义端口值,请在连接到 VM 时指定该值。
仅标准 SKU 或更高版本支持自定义端口值。
可共享链接
Bastion 的“可共享链接”功能允许用户通过 Azure Bastion 连接到目标资源,无需访问 Azure 门户。
当没有 Azure 凭据的用户单击可共享链接时,会打开一个网页,提示用户通过 RDP 或 SSH 登录到目标资源。 用户使用用户名和密码或私钥进行身份验证,具体取决于你在 Azure 门户中为该目标资源配置的内容。 用户可以连接到你当前可以使用 Azure Bastion 连接到的相同资源:VM 或虚拟机规模集。
| 方法 | 值 | 链接 | 需要标准 SKU 或更高版本 |
|---|---|---|---|
| Azure 门户 | 可共享链接 | 配置 | 是 |
仅限专用部署
仅专用 Bastion 部署通过创建仅允许专用 IP 地址访问的 Bastion 的非 Internet 可路由部署来锁定端到端工作负载。 仅专用 Bastion 部署不允许通过公共 IP 地址连接到堡垒主机。 相比之下,常规 Azure Bastion 部署允许用户使用公共 IP 地址连接到堡垒主机。 有关详细信息,请参阅“将 Bastion 部署为专用”。
会话录制
启用 Azure Bastion 会话录制功能后,可以通过堡垒主机录制与虚拟机(RDP 和 SSH)建立的连接的图形化会话。 会话关闭或断开连接后,所录制的会话将存储在你的存储帐户中的 Blob 容器中(通过 SAS URL)。 会话断开连接后,可以在 Azure 门户中的“会话录制”页上访问和查看录制的会话。 会话录制需要 Bastion Premium SKU。 有关详细信息,请参阅 Bastion 会话录制。
可用性区域
某些区域支持在一个可用性区域(或多个可用性区域,以实现区域冗余)中部署 Azure Bastion。 若要按区域部署,请使用手动指定的设置部署 Bastion(不要使用自动默认设置进行部署)。 在部署时指定所需的可用性区域。 部署 Bastion 后无法更改区域可用性。
后续步骤
有关常见问题解答,请参阅 Azure Bastion 常见问题解答。 通过阅读“ 选择正确的 Azure Bastion SKU 以满足需求”来根据需要选择正确的 Azure Bastion SKU。 在 优化 Azure Bastion 成本中查看成本优化建议。