Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure Bastion是一项完全托管的 PaaS 服务,可通过 Azure 门户或通过本地计算机上安装的本机 SSH 或 RDP 客户端直接通过 TLS 与虚拟机建立安全无缝的 RDP/SSH 连接。 Azure Bastion,直接部署在你的虚拟专用网络中,并支持使用专用 IP 地址的虚拟专用网络中的所有 VM。 通过 Azure Bastion 进行连接时,虚拟机不需要公共 IP 地址、代理或特殊客户端软件。
Azure Bastion在三个 SKU 中提供:基本、标准和高级版。
注释
Azure Bastion是构成Azure网络安全类别的服务之一。 此类别中的其他服务包括 Azure DDoS 防护、Azure Firewall和 Azure Web Application Firewall。 每个服务都有自己的独特功能和用例。 有关此服务类别的详细信息,请参阅 网络安全。
主要优点
Azure Bastion具有以下优势:
- 通过 TLS 保护连接:在端口 443 上使用 RDP/SSH 通过 TLS 连接到 VM。 详细了解 连接方法和Kerberos 身份验证。
- 防止外部威胁:VM 受端口扫描保护。 使用 可用性区域 进行部署,以实现额外的复原能力。
- 可伸缩性和灵活性:配置 主机缩放、使用 可共享链接并通过 IP 地址进行连接。
- 减少管理开销:部署一次,并使用 虚拟网络对等互连 为多个网络提供服务。
- 合规性和审核:将 会话记录 用于符合性要求(高级 SKU)。
SKU编号
Azure Bastion提供三个 SKU 层:
- 高级:包括所有标准功能以及用于符合性和专用部署的会话录制。
- 标准:包括所有基本功能以及可伸缩性和高级功能(本机客户端、可共享链接、基于 IP 的连接、自定义端口、文件传输)。
- 基本:具有固定容量的专用部署,用于满足中等连接要求的生产环境。
有关完整的功能比较和容量详细信息,请参阅选择正确的Azure Bastion SKU。
体系结构
Azure Bastion提供两种部署体系结构:
仅限专用部署:没有公共 IP 地址的高级 SKU 以提高安全性。
有关每个体系结构、部署要求和网络拓扑选项的详细信息,请参阅 Bastion 设计和体系结构。
专用部署:部署到虚拟网络的基本、标准和高级 SKU。
要求
部署要求因 SKU 而异。 开发人员使用共享基础结构,无需虚拟网络。 基本、标准和高级版需要专用子网(AzureBastionSubnet)和公共 IP 地址。 Premium 支持不使用公共 IP 的仅限专用部署。
有关包括子网大小调整和 NSG 规则在内的完整要求,请参阅 关于 Bastion 配置设置。
连接方法
Azure Bastion支持多种连接方法:
- 基于 Browser 的连接:使用 HTML5 Web 客户端通过 Azure 门户进行连接。 适用于所有 SKU 层。 无需其他客户端软件。
- 本机客户端连接:使用本地计算机上安装的 SSH 或 RDP 客户端进行连接。 适用于标准和高级 SKU。 支持Microsoft Entra ID身份验证和文件传输。
- 可共享链接:创建可共享链接,使用户无需访问Azure门户即可连接到 VM。 适用于标准和高级 SKU。
有关连接方法和身份验证选项的详细信息,请参阅 关于 VM 连接和功能。
定价和 SLA
Azure Bastion定价将每小时 SKU 费用与出站数据传输成本相结合。 计费从部署 Bastion 的那一刻开始,而不考虑使用情况。
有关定价详细信息,请参阅 Azure Bastion 定价。
新动态
Azure Bastion会不断更新新功能和改进。 若要了解最新的更新和公告,请参阅
故障排除和常见问题解答
有关故障排除和常见问题的信息,请参阅 troubleshooting 指南和 Azure Bastion FAQ。