Azure Bastion 常见问题解答
Bastion 服务和部署常见问题解答
支持哪些浏览器?
浏览器必须支持 HTML 5。 使用 Windows 上的 Microsoft Edge 浏览器或 Google Chrome。 对于 Apple Mac,可使用 Google Chrome 浏览器。 Windows 和 Mac 上也支持 Microsoft Edge Chromium。
如何定价?
Azure Bastion 定价是基于 SKU、实例(缩放单元)以及数据传输速率的小时定价组合。 小时定价从部署 Bastion 的时刻开始计算,而无论出站数据的使用情况如何。 有关最新定价信息,请参阅 Azure Bastion 定价页。
是否支持 IPv6?
目前不支持 IPv6。 Azure Bastion 仅支持 IPv4。 这意味着只能为 Bastion 资源分配 IPv4 公共 IP 地址,并且可以使用 Bastion 连接到 IPv4 目标 VM。 你也可以使用 Bastion 连接到双协议栈目标 VM,但只能通过 Azure Bastion 发送和接收 IPv4 流量。
Azure Bastion 将客户数据存储在何处?
Azure Bastion 不会将客户数据移出部署的区域或存储到部署区域以外的区域。
Azure Bastion 是否支持虚拟 WAN?
是,可以使用 Azure Bastion 进行虚拟 WAN 部署。 但是,不支持在虚拟 WAN 中心内部署 Azure Bastion。 可以在辐射虚拟网络中部署 Azure Bastion,并使用基于 IP 的连接功能通过虚拟 WAN 中心连接到跨其他虚拟网络部署的虚拟机。 如果将 Azure 虚拟 WAN 中心与 Azure 防火墙集成为安全虚拟中心,则 AzureBastionSubnet 必须驻留在虚拟网络中,其中默认的 0.0.0.0/0 路由传播在虚拟网络连接级别处于禁用状态。
是否可以将 Azure Bastion 与 Azure 专用 DNS 区域一起使用?
由世纪互联运营的 Azure 中的 Azure 专用 DNS 区域目前不支持 Azure Bastion。
Azure Bastion 是否支持专用链接?
否,Azure Bastion 当前不支持 Azure 专用链接。
为什么在门户中使用“部署 Bastion”时出现“未能添加子网”错误?
目前,对于大多数地址空间,必须先将名为“AzureBastionSubnet”的子网添加到虚拟网络,然后选择“部署 Bastion”。
能否拥有大小为 /27 或更小(/28、/29 等)的 Azure Bastion 子网?
对于在 2021 年 11 月 2 日或之后部署的 Azure Bastion 资源,最小的 AzureBastionSubnet 大小为 /26 或更大(/25、/24 等)。 在此日期之前部署在大小为 /27 的子网中的所有 Azure Bastion 资源都不受此更改的影响,并且将继续工作。 但是,强烈建议将任何现有 AzureBastionSubnet 的大小增加到 /26,以防你将来选择利用主机缩放。
是否可以在 Azure Bastion 子网中部署多个 Azure 资源?
不是。 保留 Azure Bastion 子网 (AzureBastionSubnet) 仅用于部署 Azure Bastion 资源。
Azure Bastion 子网是否支持用户定义的路由 (UDR)?
不是。 Azure Bastion 子网不支持 UDR。
对于在同一虚拟网络中同时包含 Azure Bastion 和 Azure 防火墙/网络虚拟设备 (NVA) 的方案,无需强制流量从 Azure Bastion 子网发往 Azure 防火墙,因为 Azure Bastion 与 VM 之间的通信是专用的。 有关详细信息,请参阅通过 Bastion 访问 Azure 防火墙后的 VM。
我应使用哪个 SKU?
Azure Bastion 具具有多个 SKU。 应根据连接和功能要求选择 SKU。 有关 SKU 层和支持的连接和功能的完整列表,请参阅《配置设置》一文。
是否可以升级 SKU?
是的。 有关步骤,请参阅升级 SKU。 有关 SKU 的详细信息,请参阅配置设置一文。
是否可以降级 SKU?
不是。 不支持降级 SKU。 有关 SKU 的详细信息,请参阅配置设置一文。
Bastion 是否支持连接到 Azure 虚拟桌面?
否,Bastion 不支持连接到 Azure 虚拟桌面。
如何处理部署失败?
查看任何错误消息并根据需要在 Azure 门户中提出支持请求。 Azure 订阅限制、配额和约束可能会导致部署失败。 具体来说,客户可能会遇到对每个订阅允许的公共 IP 地址数的限制,这会导致 Azure Bastion 部署失败。
如何在灾难恢复计划中纳入 Azure Bastion?
Azure Bastion 部署在虚拟网络或对等的虚拟网络中,并关联到 Azure 区域。 由你负责将 Azure Bastion 部署到灾难恢复 (DR) 站点虚拟网络。 如果出现 Azure 区域故障,请将 VM 故障转移到 DR 区域。 然后,使用 DR 区域中部署的 Azure Bastion 主机连接到现在此处部署的 VM。
Bastion 是否支持将 VNet 移到另一个资源组?
错误。 如果将虚拟网络移动到另一个资源组(即使它位于同一订阅中),则需要先从虚拟网络中删除 Bastion,然后继续将虚拟网络移动到新的资源组。 虚拟网络进入新资源组后,可以将 Bastion 部署到虚拟网络。
Bastion 是否支持区域冗余?
目前,默认情况下,新的 Bastion 部署不支持区域冗余。 以前部署的堡垒主机可能是区域冗余的,也可能不是区域冗余的。
Bastion 是否支持 Microsoft Entra 来宾帐户?
是,可以向 Microsoft Entra 来宾帐户授予对 Bastion 的访问权限,并且可以将其连接到虚拟机。 但是,Microsoft Entra 来宾用户无法通过 Microsoft Entra 身份验证连接到 Azure VM。 通过 Microsoft Entra 身份验证支持非来宾用户。 若要详细了解 Azure VM 的 Microsoft Entra 身份验证(适用于非来宾用户),请参阅使用 Microsoft Entra ID 登录到 Azure 中的 Windows 虚拟机。
Bastion 可共享链接是否支持自定义域?
否,Bastion 可共享链接不支持自定义域。 尝试在 Bastion 主机证书的 CN/SAN 中添加特定域时,用户会收到证书错误。
VM 连接和可用功能常见问题解答
是否需要通过角色来访问虚拟机?
需要使用以下角色进行连接:
- 虚拟机上的读者角色。
- NIC 上的读者角色(使用虚拟机的专用 IP)。
- Azure Bastion 资源上的读者角色。
- 目标虚拟机的虚拟网络上的读者角色(如果 Bastion 部署位于对等互连虚拟网络中)。
此外,用户必须具有连接到 VM 的权限(如果需要)。 例如,如果用户通过 RDP 连接到 Windows 虚拟机,并且不是本地管理员组的成员,则其必须是远程桌面用户组的成员。
为什么在 Bastion 会话启动前收到了“你的会话已过期”的错误消息?
如果直接从另一个浏览器会话或选项卡转到 URL,则会出现此错误。 它有助于确保会话更安全,并且该会话只能通过 Azure 门户来访问。 登录到 Azure 门户,并重新开始会话。
我的虚拟机上是否需要公共 IP 才能通过 Azure Bastion 进行连接?
否。 使用 Azure Bastion 连接到 VM 时,不需要在要连接到的 Azure 虚拟机上具有公共 IP。 Bastion 服务通过虚拟网络中虚拟机专用 IP 打开到虚拟机的 RDP/SSH 会话/连接。
是否需要 RDP 或 SSH 客户端?
否。 可以使用浏览器从 Azure 门户访问虚拟机。 有关可用的连接和方法,请参阅关于 VM 连接和功能。
用户是否需要对目标 VM 具有特定权限才能进行 RDP 连接?
用户在通过 RDP 连接到 Windows VM 时,必须对目标 VM 拥有权限。 如果用户不是本地管理员,请将其添加到目标 VM 上的远程桌面用户组。
是否可以使用本机客户端连接到我的 VM?
是的。 可以使用本机客户端从本地计算机连接到 VM。 请参阅使用本机客户端连接到 VM。
是否需要在 Azure 虚拟机中运行代理?
否。 无需在浏览器或 Azure 虚拟机上安装代理或任何软件。 Bastion 服务没有代理,不需要任何其他软件即可使用 RDP/SSH。
VM 会话支持哪些功能?
有关支持的功能,请参阅关于 VM 连接和功能。
重置密码是否适用于通过可共享链接进行连接的本地用户?
不是。 某些组织的公司策略要求在用户首次登录本地帐户时重置密码。 使用可共享链接时,用户无法更改密码,即使可能会出现“重置密码”按钮。
远程音频是否可用于 VM?
是的。 请参阅关于 VM 连接和功能。
Azure Bastion 是否支持文件传输?
Azure Bastion 支持使用 Bastion 和本机 RDP 或 SSH 客户端在目标 VM 和本地计算机之间传输文件。 目前,无法使用 PowerShell 或通过 Azure 门户来上传或下载应用程序。 有关详细信息,请参阅使用本机客户端上传和下载文件。
Bastion 强化是否适用于 AADJ VM 扩展加入的 VM?
此功能不适用于使用 Microsoft Entra 用户的、已加入 AADJ VM 扩展的计算机。 有关详细信息,请参阅使用 Microsoft Entra ID 登录到 Azure 中的 Windows 虚拟机。
Bastion 是否与设置为 RDS 会话主机的 VM 兼容?
Bastion 不支持连接到设置为 RDS 会话主机的 VM。
Bastion 远程会话期间支持哪些键盘布局?
Azure Bastion 目前支持在 VM 使用以下键盘布局:
- en-us-qwerty
- en-gb-qwerty
- de-ch-qwertz
- de-de-qwertz
- fr-be-azerty
- fr-fr-azerty
- fr-ch-qwertz
- hu-hu-qwertz
- it-it-qwerty
- ja-jp-qwerty
- pt-br-qwerty
- es-es-qwerty
- es-latam-qwerty
- sv-se-qwerty
- tr-tr-qwerty
要为目标语言建立正确的键映射,必须将本地计算机上的键盘布局设置为目标语言并将目标 VM 内的键盘布局设置为目标语言。 这两个键盘都必须设置为目标语言,才能在目标 VM 内建立正确的键映射。
若要将目标语言设置为 Windows 工作站上的键盘布局,请导航到“设置”>“时间和语言”>“语言和区域”。 在“首选语言”下,选择“添加语言”,然后添加目标语言。 然后,你将能够在工具栏上看到你的键盘布局。 要将“英语(美国)”设置为你的键盘布局,请在工具栏上选择“ENG”或单击 Windows+空格键以打开键盘布局。
是否有键盘解决方案可在 VM 和浏览器之间切换焦点?
用户可以使用“Ctrl+Shift+Alt”在 VM 和浏览器之间有效地切换焦点。
如何从实例中恢复键盘或鼠标的焦点?
连续两次单击 Windows 键,即可在 Bastion 窗口中恢复焦点。
通过 Bastion 支持的最大屏幕分辨率是多少?
目前,1920x1080 (1080p) 是支持的最大分辨率。
Azure Bastion 是否支持目标 VM 的时区配置或时区重定向?
Azure Bastion 当前不支持时区重定向并且不可配置时区。 成功连接到来宾 OS 后,可以手动更新 VM 的时区设置。
在 Bastion 主机上维护期间,现有会话是否会断开连接?
是的,在 Bastion 资源维护期间,目标 Bastion 资源上的现有会话将断开连接。
我正在使用 JIT 策略连接到 VM,是否需要额外权限?
如果用户使用 JIT 策略连接到 VM,无需额外权限。 有关使用 JIT 策略连接到 VM 的详细信息,请参阅在 VM 上启用实时访问。
VNet 对等互连 FAQ
是否仍可将多个 Bastion 主机部署到对等互连虚拟网络中?
是的。 默认情况下,用户会看到在 VM 所在的虚拟网络中部署的 Bastion 主机。 但是,在“连接”菜单中,用户可以看到在对等互连网络上检测到的多个 Bastion 主机。 他们可以选择首选用于连接到虚拟网络中部署的 VM 的 Bastion 主机。
如果将对等互连的 VNet 部署在不同的订阅中,通过 Bastion 进行的连接是否可以正常工作?
可以,对于单个租户的跨不同订阅的对等虚拟网络,通过 Bastion 进行的连接会继续正常工作。 不支持跨两个不同租户的订阅。 若要在“连接”下拉菜单中查看 Bastion,用户必须在“订阅”“全局订阅”中选择他们有权访问的订阅。
我有权访问对等互连 VNet,但看不到在其中部署的 VM。
请确保用户对 VM 和对等虚拟网络都具有“读取”访问权限。 此外,请在 IAM 下检查用户是否对以下资源具有“读取”访问权限:
- 虚拟机上的读者角色。
- NIC 上的读者角色(使用虚拟机的专用 IP)。
- Azure Bastion 资源上的读者角色。
- 虚拟网络上的读者角色(如果没有对等互连虚拟网络,则不需要)。
| 权限 | 描述 | 权限类型 |
|---|---|---|
| Microsoft.Network/bastionHosts/read | 获取守护主机 | 操作 |
| Microsoft.Network/virtualNetworks/BastionHosts/action | 获取虚拟网络中的 Bastion 主机引用。 | 操作 |
| Microsoft.Network/virtualNetworks/bastionHosts/default/action | 获取虚拟网络中的 Bastion 主机引用。 | 操作 |
| Microsoft.Network/networkInterfaces/read | 获取网络接口定义。 | 操作 |
| Microsoft.Network/networkInterfaces/ipconfigurations/read | 获取网络接口 IP 配置定义。 | 操作 |
| Microsoft.Network/virtualNetworks/read | 获取虚拟网络定义 | 操作 |
| Microsoft.Network/virtualNetworks/subnets/virtualMachines/read | 获取对虚拟网络子网中的所有虚拟机的引用 | 操作 |
| Microsoft.Network/virtualNetworks/virtualMachines/read | 获取对虚拟网络中的所有虚拟机的引用 | 操作 |
后续步骤
有关详细信息,请参阅什么是 Azure Bastion。