Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
本文中的各个部分介绍 Azure Bastion 的资源和设置。
Azure Bastion 子网
重要
对于在 2021 年 11 月 2 日或之后部署的 Azure Bastion 资源,最小的 AzureBastionSubnet 大小为 /26 或更大(/25、/24 等)。 在此日期之前部署在大小为 /27 的子网中的所有 Azure Bastion 资源不受此更改的影响,并且将会继续工作,但强烈建议将任何现有的 AzureBastionSubnet 的大小增加到 /26,以防你未来会选择利用主机缩放。
使用除 Bastion 开发人员产品/服务以外的任何 SKU 部署 Azure Bastion 时,Bastion 需要一个名为 AzureBastionSubnet 的专用子网。 必须在要将 Azure Bastion 部署到的同一虚拟网络中创建此子网。 该子网必须采用以下配置:
- 子网名称必须是 AzureBastionSubnet。
- 子网大小必须为 /26 或更大(/25、/24 等)。
- 要进行主机缩放,建议使用 /26 或更大的子网。 使用较小的子网空间会限制缩放单元的数量。 有关详细信息,请参阅本文的主机缩放部分。
- 该子网必须与堡垒主机位于同一虚拟网络和资源组中。
- 子网不能包含其他资源。
可使用以下方法配置此设置:
| 方法 | 值 | 链接 |
|---|---|---|
| Azure 门户 | 子网 | 快速入门 |
| Azure PowerShell | -subnetName | cmdlet |
| Azure CLI | --subnet-name | 命令 |
公共 IP 地址
Azure Bastion 部署(仅 Bastion 专用)需要公共 IP 地址。 该公共 IP 必须采用以下配置:
- 公共 IP 地址 SKU 必须为“标准”。
- 公共 IP 地址分配方法必须为“静态”。
- 公共 IP 地址名称是用于引用此 IP 地址的资源名称。
- 可以选择使用已创建的公共 IP 地址,前提是该地址符合 Azure Bastion 所需的条件,并且未被使用。
可使用以下方法配置此设置:
| 方法 | 值 | 链接 |
|---|---|---|
| Azure 门户 | 公共 IP 地址 | Azure 门户 |
| Azure PowerShell | -公共IP地址 | cmdlet |
| Azure CLI | --public-ip create (用于创建公共IP) | 命令 |
实例和主机扩展
实例是配置 Azure Bastion 时创建的已优化 Azure VM。 Azure 会为你完全管理每个实例。 实例也称为缩放单元。 通过 Azure Bastion 实例连接到客户端 VM。 使用基本 SKU 配置 Azure Bastion 时,将创建两个实例。 如果使用标准 SKU 或更高版本,可以指定实例数。 这称为“主机缩放”。
若要配置主机缩放,请参阅 “配置主机缩放”。
自定义端口
可以指定要用来连接到 VM 的端口。 默认情况下,对于 RDP 和 SSH,用于连接的入站端口分别为 3389 和 22。 如果配置自定义端口值,请在连接到 VM 时指定该值。
仅标准 SKU 或更高版本支持自定义端口值。
可共享链接
Bastion 的“可共享链接”功能允许用户通过 Azure Bastion 连接到目标资源,无需访问 Azure 门户。
当没有 Azure 凭据的用户单击可共享链接时,会打开一个网页,提示用户通过 RDP 或 SSH 登录到目标资源。 用户使用用户名和密码或私钥进行身份验证,具体取决于你在 Azure 门户中为该目标资源配置的内容。 用户可以连接到您当前可以使用 Azure Bastion 连接到的相同资源:虚拟机或虚拟机规模集。
| 方法 | 值 | 链接 | 需要标准 SKU 或更高版本 |
|---|---|---|---|
| Azure 门户 | 可共享链接 | 配置 | 是 |
仅限专用部署
仅专用 Bastion 部署通过创建仅允许专用 IP 地址访问的 Bastion 的非 Internet 可路由部署来锁定端到端工作负载。 仅专用 Bastion 部署不允许通过公共 IP 地址连接到堡垒主机。 相比之下,常规 Azure Bastion 部署允许用户使用公共 IP 地址连接到堡垒主机。 有关详细信息,请参阅“将 Bastion 部署为专用”。
会话录制
启用 Azure Bastion 会话录制功能后,可以通过堡垒主机录制与虚拟机(RDP 和 SSH)建立的连接的图形化会话。 会话关闭或断开连接后,所录制的会话将存储在你的存储帐户中的 Blob 容器中(通过 SAS URL)。 会话断开连接后,可以在 Azure 门户中的“会话录制”页上访问和查看录制的会话。 会话录制需要 Bastion Premium SKU。 有关详细信息,请参阅 Bastion 会话录制。
后续步骤
- 了解 Azure Bastion 的常见问题。
- 了解不同的 Azure Bastion SKU 层 ,并根据需要选择合适的层。
- 了解如何在保持安全远程访问的同时 优化 Azure Bastion 成本 。
- 了解如何 将更多实例(缩放单位)添加到 Azure Bastion。