Azure Bastion 提供四个 SKU 层:基本层、标准和高级层。
有关所有 Azure Bastion 功能和配置设置的详细信息,请参阅 “关于 Bastion 配置设置”。
功能对比
比较所有四个 Azure Bastion SKU 层的功能:
| 类别 | 功能 / 特点 | 基本 | 标准 | 高级 |
|---|---|---|---|---|
| 部署和要求 | 需要 AzureBastionSubnet¹ | 是的 | 是的 | 是的 |
| 需要公共 IP 地址¹ | 是的 | 是的 | No² | |
| 专用堡垒主机 | 是的 | 是的 | 是的 | |
| 可用性区域 | 是的 | 是的 | 是的 | |
| 虚拟网络对等互连支持 | 是的 | 是的 | 是的 | |
| VM 连接 | 连接到同一虚拟网络中的虚拟机 | 是的 | 是的 | 是的 |
| 连接到对等互连虚拟网络中的 VM | 是的 | 是的 | 是的 | |
| 支持并发连接 | 是的 | 是的 | 是的 | |
| 使用 SSH 连接到 Linux VM | 是的 | 是的 | 是的 | |
| 使用 RDP 连接到 Windows VM | 是的 | 是的 | 是的 | |
| 使用 RDP 连接到 Linux VM | 否 | 是的 | 是的 | |
| 使用 SSH 连接到 Windows VM | 否 | 是的 | 是的 | |
| 身份验证和安全性 | 访问 Azure Key Vault 中的 Linux VM 私钥 | 是的 | 是的 | 是的 |
| Kerberos 身份验证 | 是的 | 是的 | 是的 | |
| 会话录制 | 否 | 否 | 是的 | |
| 仅限专用部署(无公共 IP) | 否 | 否 | 是的 | |
| 连接方法和协议 | 基于 Azure 门户的连接 | 是的 | 是的 | 是的 |
| 使用 Azure CLI 连接到 VM(本机客户端) | 否 | 是的 | 是的 | |
| 指定自定义入站端口 | 否 | 是的 | 是的 | |
| IP-Connect 功能 | 否 | 是的 | 是的 | |
| 可共享链接 | 否 | 是的 | 是的 | |
| 上传或下载文件(本机客户端) | 否 | 是的 | 是的 | |
| 用户体验 | VM 音频输出 | 是的 | 是的 | 是的 |
| 复制/粘贴(基于 Web 的客户端) | 是的 | 是的 | 是的 | |
| 禁用复制/粘贴(基于 Web 的客户端) | 否 | 是的 | 是的 | |
| Cost | 每小时费用 | 已支付 | 已支付 | 已支付 |
| 出站数据传输费用 | 付费⁶ | 付费⁶ | 付费⁶ |
对于专用部署(基本、标准、高级),AzureBastionSubnet 必须为 /26 或更高版本(/25、/24 等)。 有关详细信息,请参阅 Azure Bastion 子网。
}仅专用部署选项不需要公共 IP 地址。 有关详细信息,请参阅(private-only-deployment.md)。
⁵ 最大规模 (50 个实例)。 有关详细信息,请参阅 实例和主机缩放。
⁶ 每月前 5 GB 是免费的。 有关详细信息,请参阅 Azure Bastion 定价。
性能和可伸缩性
下表显示了每个 SKU 层的容量和缩放特征:
| 指标 | 基本 | 标准 | 高级 |
|---|---|---|---|
| 部署模型 | 专用主机 | 专用主机 | 专用主机 |
| 主机扩展 | 否 | 是(2-50 个实例) | 是(2-50 个实例) |
| 实例计数 | 2 (已修复) | 2-50 (可配置) | 2-50 (可配置) |
| 固定实例计数 | 2 个实例 | 可配置 | 可配置 |
| 并发 VM 连接 | 多个 VM | 多个 VM | 多个 VM |
| 最大并发 RDP 会话⁵ | 40 (2 个实例× 20) | 1,000 (50 个实例× 20) | 1,000 (50 个实例× 20) |
| 最大并发 SSH 会话⁵ | 80 (2 个实例× 40) | 2,000 (50 个实例× 40) | 2,000 (50 个实例× 40) |
| 每个实例容量 | 20 RDP + 40 SSH | 20 RDP + 40 SSH | 20 RDP + 40 SSH |
区域可用性
Azure Bastion SKU 可用性因区域而异:
- 基本 SKU、标准 SKU、高级 SKU:在所有支持 Azure Bastion 的 Azure 区域中可用。
决策框架
根据要求选择 Azure Bastion SKU。
基本 SKU
基础 SKU 提供专用部署,并具有固定容量。 在以下情况下选择基本 SKU:
- 需要专门的生产部署
- 固定容量为两个实例(40 RDP/80 SSH 会话)已足够
- 不需要高级功能(本机客户端、可共享链接、基于 IP 的连接、自定义端口、文件传输)
标准 SKU
标准 SKU 包括高级功能和可配置的缩放。 在以下情况下选择标准 SKU:
- 需要高级功能(本机客户端、可共享链接、基于 IP 的连接、自定义端口、文件传输)
- 您需要主机扩展(2-50 个实例)
- 需要高并发性(最大规模为 1,000 个 RDP 或 2,000 个 SSH 会话)
优质的SKU
高级 SKU 包括所有标准功能以及会话录制和专用部署。 在以下情况下选择高级 SKU:
- 需要会话录制以满足合规性或审核要求
- 需要专用部署(无公共 IP 地址)
- 合规性要求强制会话审核线索
小窍门
标准与高级之间的成本差异是边际的。 建议选择高级 SKU 进行生产部署。
升级注意事项
Azure Bastion 支持从较低的 SKU 升级到更高的 SKU,但不支持降级。
升级路径
- 基本和更高版本:通过 Azure 门户升级。 可以在升级时添加功能。 请参阅 从基本或标准 SKU 升级。
重要
升级大约需要 10 分钟。 不支持降级 SKU。 必须删除并重新创建 Azure Bastion。 可以在升级过程中添加功能。
有关分步升级说明,请参阅 “查看或升级 SKU”。
定价模型
Azure Bastion 定价将每小时 SKU 费用与出站数据传输成本相结合。 对于专用 SKU(基本、标准、高级),支付每小时费率和数据传输费用(前 5 GB/月免费)。
有关详细的定价信息和成本优化策略,请参阅 Azure Bastion 定价 和 Azure Bastion 成本优化原则。