配置 Bastion 会话录制

本文可帮助你配置 Bastion 会话录制。 启用 Azure Bastion 会话录制功能后,可以通过堡垒主机录制与虚拟机(RDP 和 SSH)建立的连接的图形化会话。 会话关闭或断开连接后,所录制的会话将存储在你的存储帐户中的 Blob 容器中(通过 SAS URL)。 会话断开连接后,可以在 Azure 门户中的“会话录制”页上访问和查看录制的会话。 会话录制需要 Bastion Premium SKU。

开始之前

下面的各部分概述了 Bastion 会话录制的注意事项、限制和先决条件。

注意事项和限制

  • 此功能需要高级 SKU。
  • 目前无法通过原生客户端进行会话录制。
  • 会话录制一次支持一个容器/存储帐户。
  • 在堡垒主机上启用会话录制后,Bastion 会录制所有通过启用了录制的堡垒主机的会话。

先决条件

  • Azure Bastion 已部署到你的虚拟网络。 有关步骤,请参阅教程 - 使用指定的设置部署 Bastion
  • 要想使用此功能,必须将 Bastion 配置为使用高级 SKU。 配置会话录制功能时,你可以从较低的 SKU 更新到高级 SKU。 若要检查 SKU 并根据需要进行升级,请参阅查看或升级 SKU
  • 你连接到的虚拟机必须部署到包含堡垒主机的虚拟网络,或者部署到直接对等互连到 Bastion 虚拟网络的虚拟网络。

启用会话录制

可以在创建新的堡垒主机资源时启用会话录制,也可以在部署 Bastion 后对其进行配置。

屏幕截图显示了堡垒主机的配置页面。

进行新的 Bastion 部署的步骤

手动配置和部署堡垒主机时,可以在部署时指定 SKU 层级和功能。 有关部署 Bastion 的完整步骤,请参阅使用指定的设置部署 Bastion

  1. 在 Azure 门户中,选择“创建资源”。
  2. 搜索“Azure Bastion”并选择“创建”。
  3. 使用手动设置填写值,确保选择“高级 SKU”。
  4. 在“高级”选项卡中,选择“会话录制”以启用会话录制功能。
  5. 复查你的详细信息,然后选择“创建”。 Bastion 会立即开始创建堡垒主机。 此过程需要大约 10 分钟才能完成。

适用于现有 Bastion 部署的步骤

如果你已经部署了 Bastion,请使用以下步骤来启用会话录制。

  1. 在 Azure 门户中,转到你的 Bastion 资源。
  2. 在 Bastion 页上,在左窗格中选择“配置”。
  3. 在“配置”页上,对于“层级”,请选择“高级”(如果尚未选择)。 此功能需要高级 SKU。
  4. 从列出的功能中选择“会话录制(预览版)”。
  5. 选择“应用”。 Bastion 会立即开始更新堡垒主机的设置。 更新需要花费大约 10 分钟。

配置存储帐户容器

在本部分中,你将设置并指定用于会话录制的容器。

  1. 在你的资源组中创建一个存储帐户。 有关步骤,请参阅创建存储帐户使用共享访问签名 (SAS) 授予对 Azure 存储资源的有限访问权限

  2. 在存储帐户中创建“容器”。 这是将用于存储你的 Bastion 会话录制的容器。 建议为会话录制创建专用的容器。 有关详细步骤,请参阅创建容器

  3. 在你的存储帐户的页面上,在左窗格中展开“设置”。 选择“资源共享 (CORS)”。

  4. 在 BLOB 服务下创建新策略,并将更改保存在页面顶部。

    名称
    允许的源 https:// 后跟堡垒的完整 DNS 名称,并以 bst- 开头。 请记住,这些值区分大小写。
    允许的方法 GET
    允许的标头 *
    公开的标题 *
    最长时间 86400

添加或更新 SAS URL

若要配置会话录制,必须将 SAS URL 添加到 Bastion 会话录制配置。 在本部分中,你将从容器生成 Blob SAS URL,然后将其上传到你的堡垒主机。

以下步骤可帮助你直接在“生成 SAS”页上配置所需的设置。 不过,你也可以通过创建存储的访问策略来配置某些设置。 然后,可以在“生成 SAS”页上将存储的访问策略链接到 SAS 令牌。 如果要创建存储的访问策略,请在访问策略中或在“生成 SAS”页上选择“权限”和“开始/到期日期和时间”。

  1. 在你的存储帐户页上,转到“数据存储”->“容器”。
  2. 找到你创建的用于存储 Bastion 会话录制的容器,然后单击容器右侧的 3 个点(省略号),并从下拉列表中选择“生成 SAS”。
  3. 在“生成 SAS”页上,对于“权限”,请选择“读取”、“创建”、“写入”、“列出”。
  4. 对于“开始和到期日期/时间”,请使用以下建议:
    • 将“开始时间”设置为在当前时间之前至少 15 分钟。
    • 将“到期时间”设置为离现在很远的将来时间。
  5. 在“允许的协议”下,仅选择“HTTPS”。
  6. 单击“生成 SAS 令牌和 URL”。 你会在页面底部看到生成的 Blob SAS 令牌和 Blob SAS URL。
  7. 复制 Blob SAS URL。
  8. 转到你的堡垒主机。 在左窗格中,选择“会话录制”。
  9. 在页面顶部,选择“添加或更新 SAS URL”。 粘贴你的 SAS URL,然后单击“上传”。

查看录制内容

在堡垒主机上启用会话录制后,会自动录制会话。 可以在 Azure 门户中通过集成的 Web 播放器查看录制内容。

  1. 在 Azure 门户中,转到你的 Bastion 主机。
  2. 在左侧窗格的“设置”下选择“会话录制”。
  3. 应当已配置了 SAS URL(在本练习的先前部分中)。 但是,如果 SAS URL 已过期,或者需要添加 SAS URL,请使用前面的步骤获取和上传 Blob SAS URL。
  4. 选择要查看的 VM 和录制内容链接,然后选择“查看录制内容”。

后续步骤

有关 Bastion 的其他信息,请查看 Bastion 常见问题解答