关于 Bastion 配置设置
本文中的各个部分介绍 Azure Bastion 的资源和设置。
SKU
SKU 也称为“层”。 Azure Bastion 支持多个 SKU 层级。 配置 Bastion 时,请选择 SKU 层级。 根据要使用的功能决定 SKU 层级。 下表显示了每个相应 SKU 的功能的可用性。
| 功能 | 基本 SKU | 标准 SKU |
|---|---|---|
| 连接到同一虚拟网络中的目标 VM | 是 | 是 |
| 连接到对等互连虚拟网络中的目标 VM | 是 | 是 |
| 支持并发连接 | 是 | 是 |
| 访问 Azure Key Vault (AKV) 中的 Linux VM 私钥 | 是 | 是 |
| 使用 SSH 连接到 Linux VM | 是 | 是 |
| 使用 RDP 连接到 Windows VM | 是 | 是 |
| 使用 RDP 连接到 Linux VM | 否 | 是 |
| 使用 SSH 连接到 Windows VM | 否 | 是 |
| 指定自定义入站端口 | 否 | 是 |
| 使用 Azure CLI 连接到 VM | 否 | 是 |
| 主机缩放 | 否 | 是 |
| 上传或下载文件 | 否 | 是 |
| Kerberos 身份验证 | 是 | 是 |
| 可共享链接 | 否 | 是 |
| 通过 IP 地址连接到 VM | 否 | 是 |
| VM 音频输出 | 是 | 是 |
| 禁用复制/粘贴(基于 Web 的客户端) | 否 | 是 |
指定 SKU
| 方法 | SKU 值 | 链接 |
|---|---|---|
| Azure 门户 | 层级 - 基本 | 快速入门 |
| Azure 门户 | 层级 - 基本或标准 | 教程 |
| Azure PowerShell | 层级 - 基本或标准 | 操作方法 |
| Azure CLI | 层级 - 基本或标准 | 操作方法 |
升级 SKU
可随时升级 SKU 来添加更多功能。
注意
不支持降级 SKU。 若要降级,必须删除并重新创建 Azure Bastion。
可使用以下方法配置此设置:
| 方法 | 值 | 链接 |
|---|---|---|
| Azure 门户 | 层 | 操作方法 |
Azure Bastion 子网
重要
对于在 2021 年 11 月 2 日或之后部署的 Azure Bastion 资源,最小的 AzureBastionSubnet 大小为 /26 或更大(/25、/24 等)。 在此日期之前部署在大小为 /27 的子网中的所有 Azure Bastion 资源不受此更改的影响,并且将会继续工作,但强烈建议将任何现有的 AzureBastionSubnet 的大小增加到 /26,以防你未来会选择利用主机缩放。
使用除开发人员 SKU 以外的任何 SKU 部署 Azure Bastion 时,Bastion 需要一个名为 AzureBastionSubnet 的专用子网。 必须在要将 Azure Bastion 部署到的同一虚拟网络中创建此子网。 该子网必须采用以下配置:
- 子网名称必须是 AzureBastionSubnet。
- 子网大小必须为 /26 或更大(/25、/24 等)。
- 要进行主机缩放,建议使用 /26 或更大的子网。 使用较小的子网空间会限制缩放单元的数量。 有关详细信息,请参阅本文的主机缩放部分。
- 该子网必须与堡垒主机位于同一虚拟网络和资源组中。
- 子网不能包含其他资源。
可使用以下方法配置此设置:
| 方法 | 值 | 链接 |
|---|---|---|
| Azure 门户 | 子网 | 快速入门 教程 |
| Azure PowerShell | -subnetName | cmdlet |
| Azure CLI | --subnet-name | command |
公共 IP 地址
Azure Bastion 部署需要公共 IP 地址,但开发人员 SKU 部署除外。 该公共 IP 必须采用以下配置:
- 公共 IP 地址 SKU 必须为“标准”。
- 公共 IP 地址分配方法必须为“静态”。
- 公共 IP 地址名称是要用于引用此公共 IP 地址的资源名称。
- 可以选择使用已创建的公共 IP 地址,前提是该地址符合 Azure Bastion 所需的条件,并且未被使用。
可使用以下方法配置此设置:
| 方法 | 值 | 链接 |
|---|---|---|
| Azure 门户 | 公共 IP 地址 | Azure 门户 |
| Azure PowerShell | -PublicIpAddress | cmdlet |
| Azure CLI | --public-ip create | 命令 |
实例和主机缩放
实例是配置 Azure Bastion 时创建的已优化 Azure VM。 它完全由 Azure 管理,运行 Azure Bastion 所需的所有进程。 实例也称为缩放单元。 通过 Azure Bastion 实例连接到客户端 VM。 使用基本 SKU 配置 Azure Bastion 时,将创建两个实例。 如果使用标准 SKU,则可以指定实例数(至少为两个实例)。 这称为“主机缩放”。
每个实例都可以为中型工作负载支持 20 个并发的 RDP 连接和 40 个并发的 SSH 连接(有关详细信息,请参阅 Azure 订阅限制和配额)。 每个实例的连接数取决于连接到客户端 VM 时执行的操作。 例如,如果执行某种数据密集型操作,则会创建较大的负载供实例处理。 超过并发会话数后,需要创建其他缩放单元(实例)。
实例是在 AzureBastionSubnet 中创建的。 要进行主机缩放,AzureBastionSubnet 应为 /26 或更大的值。 使用较小的子网会限制可创建的实例数。 有关 AzureBastionSubnet 的详细信息,请参阅本文中的子网部分。
可使用以下方法配置此设置:
| 方法 | 值 | 链接 | 需要标准 SKU |
|---|---|---|---|
| Azure 门户 | 实例计数 | 操作方法 | 是 |
| Azure PowerShell | 缩放单元 | 操作方法 | 是 |
自定义端口
可以指定要用来连接到 VM 的端口。 默认情况下,对于 RDP 和 SSH,用于连接的入站端口分别为 3389 和 22。 如果配置自定义端口值,请在连接到 VM 时指定该值。
仅标准 SKU 支持自定义端口值。
可共享链接
Bastion 的“可共享链接”功能允许用户通过 Azure Bastion 连接到目标资源,无需访问 Azure 门户。
当没有 Azure 凭据的用户单击可共享链接时,会打开一个网页,提示用户通过 RDP 或 SSH 登录到目标资源。 用户使用用户名和密码或私钥进行身份验证,具体取决于你在 Azure 门户中为该目标资源配置的内容。 用户可以连接到你当前可以使用 Azure Bastion 连接到的相同资源:VM 或虚拟机规模集。
| 方法 | 值 | 链接 | 需要标准 SKU |
|---|---|---|---|
| Azure 门户 | 可共享链接 | 配置 | 是 |
后续步骤
有关常见问题解答,请参阅 Azure Bastion 常见问题解答。